TWI431983B - 經由閘道器而安全應用連接政策的策略 - Google Patents

經由閘道器而安全應用連接政策的策略 Download PDF

Info

Publication number
TWI431983B
TWI431983B TW097102893A TW97102893A TWI431983B TW I431983 B TWI431983 B TW I431983B TW 097102893 A TW097102893 A TW 097102893A TW 97102893 A TW97102893 A TW 97102893A TW I431983 B TWI431983 B TW I431983B
Authority
TW
Taiwan
Prior art keywords
server
client
gateway
policy information
secure channel
Prior art date
Application number
TW097102893A
Other languages
English (en)
Other versions
TW200841652A (en
Inventor
Meher P Malakapalli
Donghang Guo
Gautam Swaminathan
Ido Ben-Shachar
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of TW200841652A publication Critical patent/TW200841652A/zh
Application granted granted Critical
Publication of TWI431983B publication Critical patent/TWI431983B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/59Providing operational support to end devices by off-loading in the network or by emulation, e.g. when they are unavailable

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

經由閘道器而安全應用連接政策的策略
本發明關於經由閘道器而安全應用連接政策的策略。
一終端服務(TS,“Terminal service”)系統可允許一TS客戶端與在一遠端TS伺服器上執行的一應用進行互動。與該應用互動的一使用者通常接收相同的使用者經驗,其將在當該應用在TS客戶端本地實施時來提供。在TS伺服器裝置上實施該應用可有一些好處。例如,其將較容易地管理在一中央位置處維護的一應用。
在第一例中,一組織(例如一公司)可包括一TS伺服器,其可存取在該組織內一群組的客戶端。在此方案下,TS客戶端可存取該TS伺服器,而不需要特別的安全防備,因為TS伺服器係假設為受信任的實體。在第二例中,該組織會想要使其TS伺服器可用於位在該組織之外的另一群組的客戶端。例如,該組織會想要允許受僱者由他們的家裏經由網際網路存取其終端伺服器。在此方案下,TS客戶端不能夠在沒有特殊安全防備之下存取TS伺服器。根據一種解決方案,該組織可使用一閘道器,其位在一防火牆之後,藉以管理外部TS客戶端及TS伺服器之間的互動。
但是,在上述型式的架構中有潛在的弱點。考慮裝置重新導向的例子。在一TS系統中,裝置重新導向允許一 與一TS伺服器互動的使用者利用相關於該TS伺服器之裝置與相關於該TS客戶端之裝置。例如,與正在TS伺服器上執行的一文字處理程式互動的一使用者可指定該資訊儲存在相對於該使用者的客戶端裝置為本地端的一儲存裝置進行儲存及取得。此可允許一惡意使用者(或其它個體)有可能藉由上載病毒及類似者到TS伺服器而破壞該組織的資料處理基礎設施。
因此有一種示例性的需求為改善利用一閘道器之TS系統(及類似者)之安全性。
一策略係說明安全地應用連接策略在一系統中,其中包括一第一實體,其使用一遠端運作協定經由一閘道器連接至一第二實體。該第一實體可包括一終端服務(TS)客戶端,該第二實體可包含一TS伺服器,而該遠端運作協定可包含遠端桌面協定(RDP,“Remote Desktop Protocl”)。該策略牽涉到該閘道器與TS伺服器之間一第一安全頻道,並由該閘道器傳送政策資訊到TS伺服器。然後該策略牽涉到關閉該第一安全頻道,並設定TS客戶端與TS伺服器之間一第二安全頻道。該策略使用第二安全頻道來由TS客戶端傳送RDP資料到TS伺服器。TS伺服器使用先前傳送的政策資訊以決定是否致能或除能影響TS客戶端的一特徵,例如裝置重新導向。
該策略提供了一些好處。根據一示例性好處,該策略 允許一受信任的TS伺服器來執行影響該TS客戶端之政策資訊,而並不依賴TS客戶端(其可能為惡意者)。根據另一好處,該策略的供一種政策的中心管理;對於群組政策,此可實施每個使用者政策管理。根據另一好處,該額外的安全頻道部署於閘道器與TS伺服器之間;因為這些實體較〝靠近〞,其在建構一連接時有少許額外的延遲。
以下將說明額外的示例性實施與伴隨的好處。
本說明書提供一種策略,其用於安全地應用連接策略在一系統中,其中包括一第一實體,其使用一遠端運作協定經由一閘道器連接至一第二實體。該策略在多種系統、裝置、模組、程序、儲存媒體、資料結構及其它型式中明白顯示。
本說明書包括以下的段落。段落A描述一種示例性系統,用於使用一第一範例傳送資料。該第一範例可將該系統暴露於某些安全威脅。段落B描述一種示例性系統,用於使用一第二範例傳送資料。該第二範例提供相較於第一範例有增強的安全性。段落C描述一種示例性處理功能性,其可用於實施在段落A及B中所述之系統的任何態樣。
做為一初步說明,參照圖面所述的任何功能可使用軟體、韌體、硬體(例如固定邏輯電路)、手動處理、或這些實施之組合來實施。此處所使用的術語“邏輯”、“模組”、“組件”、“系統”或“功能性”概略性代表軟體、韌體、硬體或這 些元件的組合。例如,如果是軟體實施,術語“邏輯”、“模組”、“組件”、“系統”或”功能性”代表程式碼,其可在於處理裝置(如CPU)上執行的特定工作。該程式碼可儲存在一或多個電腦可讀取記憶體裝置。
更概言之,所例示將邏輯、模組、組件、系統及功能性分隔成不同單元可反應一實際實體群組化及軟體、韌體及/或硬體之設置,或可對應於由一單一軟體程式、韌體程式及/或硬體單元執行之不同工作的觀念性設置。所例示的邏輯、模組、組件、系統及功能性可位在一單一場所(例如由一處理裝置所實施),或可分散在複數個位置。
術語“機器可讀取媒體”或類似者係指任何種類的媒體,其可以任何型式保持資訊,其包括多種的儲存裝置(磁性、光學、靜態等)。術語機器可讀取媒體亦涵蓋用於代表資訊的短暫型式,包括多種硬體連接及/或無線鏈結來由一點傳送資訊到另一點。
此處所提出的某些技術態樣以流程圖型式來解釋。在這些流程圖中,某些操作係描述成構成以某種順序執行之不同區塊。這些實施為示例性而非限制性。某些區塊可群組在一起,並以單一操作來實施,而某些區塊可用不同於所例示之順序來實施。在流程圖中所示的區塊可由軟體、韌體、手動處理,或這些實施的任何組合來實施。
此處所提出之技術的某些態樣係在使用一遠端操作協定的一終端服務(TS)系統的內容中解釋。例如,在沒有限制之下,該技術可使用遠端桌面協定(RDP)實施。一使用 RDP的TS系統可允許一TS客戶端與在一遠端TS伺服器上維護的一或多項應用進行互動。該使用者接收相同的使用者經驗,其將可在如果該等應用係在TS客戶端上本地執行時所提供。當以下的解釋使用術語“TS客戶端”(而非“第一實體”)、“TS伺服器”(而非“第二實體”)及“RDP”(而非“遠端操作協定”),其必須注意到此處所述的原理可應用到其它實施。
A.使用第一範例的系統及方法
第1圖所示為使用第一範例在一TS客戶端102及一TS伺服器104之間傳送RDP資料的一TS系統100。如上所述,該第一範例可暴露系統100到TS客戶端102可實施的某些惡意活動。因此,段落A主要做為一種載具,用於更有效地傳送在下一個段落中所述的解決方案。
TS伺服器104係在一受信任的環境106之內所提供。受信任環境106可對應於由任何一種組織所提供的一資料處理基礎設施,例如企業、教育機構、政府機構等。雖然未示出,受信任環境106通常包括伺服器電腦、網路(例如企業內網路)、“內部”客戶端、路由器、資料儲存裝置等等之集合。受信任環境106的信任認知為其預期來自受信任環境106內與TS伺服器104互動的實體基本上可以依賴,藉以不會故意地造成對受信任環境106的損害。
TS客戶端102在受信任環境106之外。例如,TS客戶端102可代表經由網路108與TS伺服器104互動的任何種類的客戶端裝置。例如,客戶端裝置102可包含一個 人電腦、一膝上型電腦、一個人數位助理(PDA,“Personal digital assistant”)、一光筆式輸入裝置、一行動電話、一遊戲主機、一相關於電視機的機上盒等等。網路108可包含任何種類的通訊機制,其並不在受信任環境106的控制之下。例如,網路108可包含網際網路。
TS系統100使用一防火牆110及一閘道器112,以允許外部TS客戶端102來存取TS伺服器104。防火牆110可包含一習用機制,用於基於預定的規則限制被傳送到受信任環境106的資料種類。閘道器112做為TS客戶端102及TS伺服器104之間轉送RDP資料的代理伺服器。閘道器112應用多種政策,其控制在當與外部TS客戶端互動時允許及不允許那些動作。
系統102可使用一單一安全頻道114,以在TS客戶端102與TS伺服器104之間傳送RDP資料。在頻道114上傳送的RDP資料有加密,所以其不能夠作用在TS客戶端102與TS伺服器104之間的任何實體中間串流。
TS技術包括在本技術中所稱之裝置重新導向的一特徵。首先,考慮使用在受信任環境106內之客戶的裝置重新導向。當一使用者正與TS伺服器104上執行的一應用進行互動,裝置重新導向允許該使用者存取相關於TS伺服器104之裝置,以及相關於內部TS客戶端之裝置。更特定而言,TS伺服器104可具有與其相關的多種裝置,例如多種儲存裝置(相關於多種驅動器)、多種列印裝置、多種掃描裝置、多種音訊輸入及輸出裝置等等。類似地,內 部TS客戶端可具有與其相關的多種裝置,其包括上述的相同種類的裝置。裝置重新導向允許一使用者與在一TS作業之程序中與任何這些裝置互動。例如,考慮當該使用者正在使用一內部TS客戶端來與在TS伺服器104上執行的一文字處理程式互動。該使用者可將文件儲存到視為TS伺服器104本地的儲存位置,並自其取得文件。但該使用者亦可儲存文件到視為該內部客戶端為本地的儲存位置,並自其取得文件。
發生在受信任環境106範圍內的裝置重新導向不會造成顯著的風險。如上所述,此係因為在受信任環境106內的使用者及組件皆被信任而不會蓄意地造成對受信任環境106的損害。但是,在外部TS客戶端102之內容中裝置重新導向會造成一風險。此係因為TS客戶端102位在受信任環境106之外,因此不受信任。
考慮該特定方案,其中TS客戶端102包括本地裝置(116...118)。操作TS客戶端102之一惡意使用者有可能經由使用裝置重新導向引用破壞性碼進入受信任環境106中。例如,考慮以上的範例中,該使用者與在TS伺服器104上的一文字處理程式進行互動,並想要由一TS客戶端為本地之一驅動器取得一文件。如果此文件包含破壞性碼或其它有害內容,其有可能造成TS伺服器104或受信任環境106之其它部份的損害。
在某些狀況下,因此其會需要對於外部TS客戶端102除能裝置重新導向。第1圖所示為用於達到此結果之第一 範例。但是,該第一範例具有潛在的缺點。如下所述,有一風險在於一惡意外部TS客戶端可防止第一範例的防備,且仍會對受信任環境106造成損害。
根據第一範例,閘道器112傳送政策資訊120到TS客戶端102。政策資訊120在TS客戶端102與TS伺服器104之間傳遞一TS作業之一或多項特徵的狀態。例如,政策資訊120可指示是否這些特徵為致能或除能。在裝置重新導向的特定內容中,政策資訊120可用於指示裝置重新導向對於外部TS客戶端102已除能。政策資訊120可表示成多種格式,例如一或多個旗標的集合。
第一範例係基於預期TS客戶端102將在開始傳送RDP資料到TS伺服器104時轉送政策資訊120(或由其取得的資訊)到TS伺服器104(RDP資料可反應資料的正常流動,使得TS客戶端102與TS伺服器104互動)。第一範例係基於在接收政策資訊120時進一步預期TS伺服器104將基於在其中包含的狀態資訊採取適當的動作。例如,如果政策資訊120通知TS伺服器104其必須除能裝置重新導向,TS伺服器104將防止外部TS客戶端102使用裝置重新導向。
因為TS客戶端102為受信任環境106之外,其並不需要被信任。因此,TS客戶端102在轉換政策資訊120到TS伺服器104時無法進行其適當的角色。另外,TS客戶端102可傳送有損的政策資訊120到TS伺服器104。例如,TS客戶端102可改變政策資訊102來指示裝置重新導向被 致能(事實上當其必須時,即被除能)。此將造成TS伺服器104致能裝置重新導向,其依此提供一種途徑,由此TS客戶端102可上載破壞性碼到TS伺服器104。
第2圖為一種概述TS系統100之上述操作的程序200。
在區塊202中,閘道器112傳送政策資訊120到外部TS客戶端102。
在區塊204中,TS客戶端102經由閘道器112連接至TS伺服器104來進行一TS作業,例如包含RDP資料的交換。
在區塊206中,TS客戶端102被預期在當其開始傳送RDP資料時傳送該政策資訊到TS伺服器104。如上所述,一惡意TS客戶端102以多種方式可破壞此操作。
在區塊208中,TS伺服器104接收政策資訊120及RDP資料。TS伺服器104進行以TS作業為主的政策資訊120。如上所述,政策資訊120可具有致能或除能一TS作業之一或多項特徵的效應,例如裝置重新導向。
請注意到,當閘道器112的角色為執行監督在外部TS客戶端與TS伺服器104之間的互動的角色,閘道器112不能夠獲得對RDP資料之直接存取。此係因為RDP資料在TS客戶端102與TS伺服器104之間的中途進行加密。此可防止使用閘道器112之多種限制,以直接除能裝置重新導向。
B.使用第二範例的系統及方法
第3圖的TS系統300使用一第二範例來由一客戶端302傳送RDP資料到一TS伺服器304。做為參考架構,第1圖之第一TS系統100在感覺上為以客戶端為中心,其係依賴TS客戶端102來除能裝置重新導向。第3圖所提供的解決方案在感覺上為以伺服器為中心,其係單獨依賴TS伺服器304來除能裝置重新導向。因為TS伺服器304係位在一受信任環境306內,第二範例相較於該第一範例可更為可靠地除能裝置重新導向。
在開始時,其必須注意到第3圖之TS系統300係在除能裝置重新導向之特定內容中說明。但是,TS範例可被應用來影響一TS作業之任何態樣的狀態。在一通例中,例如該第二範例可允許TS伺服器304來除能在RDP資料內任何可識別之封包種類。
第3圖之TS系統300包括與第1圖之TS系統類似的內容性設定。意即,TS客戶端302與受信任環境306中的TS伺服器304互動。TS客戶端302可經由網路308(例如網際網路)、防火牆310、及閘道器312存取TS伺服器304。根據一示例性實施,其並沒有限制,第3圖之閘道器312的某些態樣可使用在以下共同申請的美國專利申請案中所述的技術來實施:(1)美國申請編號60/716,297,於2005年9月12日立案,名為「建立應用感知防火牆遍歷解決方式」(“Building Application-Aware Firewall Traversal Solutions”);及(2)美國申請編號11/067,125,於2005年2月25日立案,名為「經由一防火牆致能終端服務」 (“Enabling Terminal Services through a Firewall”)。此兩申請案藉由參考文獻之方式個別整體併入本文。
TS客戶端302經由一第二安全頻道314與TS伺服器304交換RDP資料(此係稱為一〝第二〞頻道來將其與第一頻道區別,其於第二頻道314之前暫時地建立,其在以下更加詳盡解釋)。根據一示例性實施,為了傳送RDP資料316到TS伺服器304,TS系統300首先包裝RDP資料316在一以RPC為基礎的協定318(其中RPC代表遠端程序呼叫,Remote Procedure Call)。因此,此資訊即可依次疊層在一HTTPS協定320之上(其中HTTPS代表超文件傳輸協定安全性,Hypertext Transfer Protocol Security)。在到達TS伺服器304之前,TS系統300可去掉多層來產生RPC資料318本身。概言之,經由第二頻道314傳送的RDP資料316為安全的。例如,RDP資料可使用SSL(其中SSL代表安全通訊端層,Secure Socket Layer)來保護。
TS客戶端302可與一或多個本地裝置互動,例如裝置(322...324)。這些裝置(322,...324)可包括本地儲存裝置、印表機、音訊輸入及輸出裝置等等。
現在將更為詳細地提出第二範例之特徵。首先注意到TS系統300建立閘道器312與TS伺服器304之間的一第一安全頻道326。此頻道326用於在使用第二頻道314交換RDP資料之前傳送政策資訊328到TS伺服器304。政策資訊328傳遞關於一或多個特徵,其影響在TS客戶端302及TS伺服器304之間RDP資料的交換。在一非限制 性案例中,政策資訊328包括一指令到除能TS客戶端302之裝置重新導向。
類似第二頻道314,第一頻道326為安全。例如,TS系統300可加密經由第一頻道326傳送的資訊。在一種實施中,TS系統300對第一頻道326使用SSL。
TS系統300在使用第二頻道314傳送RDP資料之前停用(deactivate)第一頻道326。於經由第二頻道314接收RDP資料時,TS伺服器304根據由政策資訊328傳遞的指令致能或除能某些特徵。請注意到將政策資訊328交換到TS伺服器304並不依賴TS客戶端302之良好信心之動作。因此,第二範例有可能比由第一TS系統100使用的第一範例要更為安全。
每個TS作業由相關的政策資訊所管理。因此,TS系統300可應用第一政策資訊到一第一TS客戶端,及第二政策資訊到一第二TS客戶端等等。再者,該政策資訊可視需要特定於每個連接,使得相同的TS客戶端在當其於時間X連接至TS伺服器304時接收第一政策資訊,並在當其於時間Y連接至TS伺服器304時接收第二政策資訊。
為了處理以上的問題,閘道器312當TS客戶端302請求與TS伺服器304連接時可傳送一符記330到TS客戶端302。符記330的角色係要識別TS客戶端302。當閘道器312轉送政策資訊328到TS伺服器304時,其亦轉送指定到此特殊TS客戶端302之符記330(及此特殊連接)。然後TS伺服器304可使用符記330來應用正確的政策資 訊328到TS客戶端302。
第4圖為一種概述TS系統300之上述操作的程序400。
在區塊402中,TS客戶端302請求連接至TS伺服器304,以進行與TS伺服器304進行一RDP作業。
在區塊404中,閘道器312傳送符記330到TS客戶端302。符記330用於識別TS客戶端302。
在區塊406中,閘道器312與TS伺服器304建立第一安全頻道326。經由此頻道326,閘道器312傳送政策資訊328與符記資訊330到TS伺服器304。政策資訊328識別一RDP作業的特徵,其相對於該特殊TS客戶端302與該特殊連接來致能或除能,其由符記330所識別。
在區塊408中,TS系統300關閉第一頻道326及建立第二頻道314。<
在區塊410中,TS客戶端302經由第二頻道314傳送RDP資料與符記330到TS伺服器304。TS伺服器304可根據符記330應用該正確政策資訊328到TS客戶端302。
在區塊412中,TS伺服器基於包含在政策資訊328中的指定監督隨後的交換RDP資料。在一特例中,此可包含除能裝置重新導向。此可降低TS客戶端302經由其本地裝置(322,...324)破壞受信任環境306的可能性。
第5圖及第6圖所示為第3圖及第4圖中所提出之原理的一示例性實施。
第5圖指示閘道器312可包括一協定模組502及一閘道器安全過濾器模組504。這些組件係關於此處所述之 RDP資料的安全傳輸。政策模組502產生政策資訊328及符記330。閘道器安全過濾器模組504由閘道器312的角度建立安全的資訊交換。也就是說,閘道器安全過濾器模組504產生一安全內容,並執行加密及解密。
TS伺服器306可包括一協調模組506與一伺服器安全過濾器模組508。這些組件係關於此處所述之安全的RDP資料傳輸。協調模組506作用在傳送到TS伺服器306之資訊,其方式在以下利用第6圖之內容更加完整揭示。伺服器安全過濾器模組508由TS伺服器304的角度在TS系統300中建立安全的資訊交換(雖然未示出,TS客戶端302包括一客戶端安全過濾器模組,用於由TS客戶端302的角度建立安全的資訊交換)。
第6圖所示為根據一示例性實施中第5圖所提出的組件如何彼此互動。第6圖之操作基於一示例性程序編號,其中可以執行這些操作。這些操作的順序可用多種方式修正。
在操作(1)中,TS客戶端302發出一頻道產生請求到閘道器312。
在操作(2)中,閘道器312產生符記330,並傳送符記330到TS客戶端302。符記330可表示為一唯一GUID。
在操作(3)中,閘道器312啟用閘道器安全濾波器模組504。
在操作(4)中,閘道器安全過濾器模組504傳送一SSL問候到TS伺服器304。
在操作(5)中,伺服器協調模組506認可SSL問候訊息,並啟用伺服器安全過濾器模組508。
在操作(6)中,一SSL交握在閘道器312與TS伺服器306之間發生,以建立第一安全頻道326。Schannel可用於此安全頻道326。
在操作(7)中,閘道器312產生政策資訊328。在此範例中,政策資訊328採取一裝置重新導向資料單元的型式。閘道器312傳送該裝置重新導向資料單元與符記330到TS伺服器304。
在操作(8)中,閘道器312傳送一重置指令到TS伺服器304。
在操作(9)中,TS伺服器304指定伺服器安全過濾器模組508預備好重新開始。
在操作(10)中,TS客戶端302經由閘道器312傳送訊息到TS伺服器304。更特定而言,由TS客戶端302傳送的一第一訊息為一協定協調訊息或一SSL問候。此訊息將通過閘道器安全過濾器模組504與伺服器安全過濾器模組508。此訊息有可能在閘道器/伺服器認證之前到達閘道器312。如果如此,該訊息仍維持等待被管理。
在操作(11)中,閘道器312在傳出上述的訊息(操作10中)之後停用閘道器安全濾波器模組504。
在操作(12)中,TS客戶端302與TS伺服器204執行認證來建立第二頻道314。
在操作(13)中,TS客戶端302傳送第一RDP封包以及 所儲存的符記330到TS伺服器304。
在操作(14)中,TS伺服器304基於政策資訊328與符記330致能或除能裝置重新導向。
C.示例性處理功能性
第7圖所示為示例性處理功能性702,其可用於實施在第3圖及第5圖中所示之系統之任何態樣。在一非限制性案例中,例如處理功能性702可代表任何TS客戶端、任何TS伺服器,任何由閘道器使用的電腦等等。
處理功能性702可包括多種揮發性及非揮發性記憶體,例如RAM704及ROM 706,以及一或多個中央處理單元(CPU,Central processing units)708。處理功能性702當CPU 708執行由記憶體所維護的指令(如704,706或其它)時,即執行多種以上識別的操作。處理功能性702亦可視需要包括多種媒體裝置710,例如硬碟模組、光碟模組等等。
處理功能性702亦包括一輸入/輸出模組712,用於接收來自使用者的多種輸入(透過輸入裝置714),並用於提供多種輸出到該使用者(透過輸出裝置716)。一特定輸出裝置可包括一顯示裝置及一相關的圖形化使用者介面(GUI,Graphical user interface)718。處理功能性702亦可包括一或多個網路介面720,用於經由一或多個通訊渠道(conduit)722與其它裝置交換資料。一或多個通訊匯流排724可通訊式地將上述的組件耦合在一起。
通訊渠道722可用多種方式實施,以適合於不同的技術及商業環境。例如,通訊渠道722可包括任何種類的網路(或網路的組合),例如一廣域網路(如網際網路)、企業內網路、數位用戶專線(DSL,“Digital Subscriber Line”)網路基礎設施,點對點耦合基礎設施等等。如果使用一或多個數位網路交換資訊,通訊渠道722可包括多種硬體連接及/或無線鏈結、路由器、閘道器、名稱伺服器等等。通訊渠道722可由任何協定或協定的組合來控制。
總結,此處藉由首先識別這些特徵可以處理的示例性問題來說明這些特徵。此種解釋方式並不構成允許其他人依此處所指出的方式來瞭解及/或表達這些問題。對於在相關技術中所存在之問題的瞭解與表達應視為本發明的一部份。
更概言之,雖然本發明已經以特定於結構化特徵及/或方法性步驟的語言來描述,其應瞭解到在下附申請專利範圍中所定義的本發明並不必要地限制於上述之特定特徵或步驟。而是該等特定特徵與步驟係以實施該等申請專利範圍之範例型式來揭示。
100‧‧‧TS系統
102‧‧‧TS客戶端
104‧‧‧TS伺服器
106‧‧‧受信任環境
108‧‧‧網路
110‧‧‧防火牆
112‧‧‧閘道器
114‧‧‧安全頻道
116‧‧‧本地裝置
118‧‧‧本地裝置
120‧‧‧政策資訊
300‧‧‧TS系統
302‧‧‧TS客戶端
304‧‧‧TS伺服器
306‧‧‧受信任環境
308‧‧‧網路
310‧‧‧防火牆
312‧‧‧閘道器
314‧‧‧第二安全頻道
316‧‧‧RDP資料
318‧‧‧以RPC為基礎的協定
320‧‧‧HTTPS協定
322‧‧‧裝置
324‧‧‧裝置
326‧‧‧第一安全頻道
328‧‧‧政策資訊
330‧‧‧符記
502‧‧‧協定模組
504‧‧‧閘道器安全過濾器模組
506‧‧‧協調模組
508‧‧‧伺服器安全過濾器模組
702‧‧‧處理功能性
704‧‧‧RAM
706‧‧‧ROM
708‧‧‧中央處理單元
710‧‧‧媒體裝置
712‧‧‧輸入/輸出模組
714‧‧‧輸入裝置
716‧‧‧輸出裝置
718‧‧‧圖形化使用者介面(GUI)
720‧‧‧網路介面
722‧‧‧通訊渠道
第1圖為一種示例性終端服務(TS)系統,其使用一第一範例由一TS客戶端傳送資料到一TS伺服器;該第一範例可能將TS系統暴露在TS客戶端的惡意活動之下。
第2圖為第1圖之TS系統操作的一示例性方式的流 程圖。
第3圖為一種示例性TS系統,其使用一第二範例由一TS客戶端傳送資料到一TS伺服器;該第二範例提供安全護衛對抗TS客戶端的惡意活動。
第4圖為第3圖之TS系統操作的一示例性方式的流程圖。
第5圖及第6圖為第3圖之TS系統的示例性實施。
第7圖為可用於實施第3圖及第5圖之系統的任何態樣之示例性處理功能性。
相同的編號在整份說明書及圖面中用於參照類似的組件及特徵。編號100系列代表原始在第1圖中發現的特徵,編號2oo系列代表原始在第2圖中發現的特徵,編號300系列代表原始在第3圖中發現的特徵,依此類推。
300‧‧‧TS系統
302‧‧‧TS客戶端
304‧‧‧TS伺服器
306‧‧‧受信任環境
308‧‧‧網路
310‧‧‧防火牆
312‧‧‧閘道器
314‧‧‧第二安全頻道
316‧‧‧RDP資料
318‧‧‧以RPC為基礎的協定
320‧‧‧HTTPS協定
322‧‧‧裝置
324‧‧‧裝置
326‧‧‧第一安全頻道
328‧‧‧政策資訊
330‧‧‧符記

Claims (15)

  1. 一種用於使用一遠端操作協定經由一閘道器安全地於一終端服務(TS)伺服器處接收來自一TS客戶端之資料的方法,該方法至少包含以下步驟:在不牽涉該TS客戶端之下,在該閘道器與該TS伺服器之間建立一第一安全頻道;經由該第一安全頻道在該TS伺服器處自該閘道器接收政策資訊,該政策資訊識別一種方式,該TS伺服器係要以該種方式與該TS客戶端互動,其中該TS伺服器自該閘道器接收該政策資訊而不自該TS客戶端接收該政策資訊;經由該第一安全頻道在該TS伺服器處自該閘道器接收一符記;停用該第一安全頻道;在停用該第一安全頻道之後,在該TS客戶端與該TS伺服器之間建立一第二安全頻道;經由該第二安全頻道在該TS伺服器處自該TS客戶端接收資料,其中該資料包括關聯於該符記的另一符記,該另一符記由該TS伺服器用以識別該TS客戶端以及對該TS客戶端套用該政策資訊;及基於先前自該閘道器傳送到該TS伺服器的該政策資訊而在該TS伺服器處對該資料採取動作。
  2. 如申請專利範圍第1項所述之方法,其中該遠端操作協定為遠端桌面協定(RDP)。
  3. 如申請專利範圍第1項所述之方法,其中該第一安全頻道係形成為一安全通訊端層(SSL)頻道。
  4. 如申請專利範圍第1項所述之方法,其中該第二安全頻道係形成為一安全通訊端層(SSL)頻道。
  5. 如申請專利範圍第1項所述之方法,其中該政策資訊指示致能或除能一特徵,該特徵影響該TS客戶端。
  6. 如申請專利範圍第5項所述之方法,其中該特徵為裝置重新導向。
  7. 如申請專利範圍第5項所述之方法,其中該特徵係相關於該遠端操作協定之至少一封包。
  8. 一種儲存裝置,該儲存裝置具有機器可讀取指令儲存於其上,當該等指令在一處理器上被執行時則配置一閘道器計算裝置進行以下步驟:在該閘道器計算裝置與該終端服務(TS)伺服器之間建立一第一安全頻道,其中該第一安全頻道不包括一TS客戶端;經由該第一安全頻道自該閘道器計算裝置傳送政策資訊到該TS伺服器,該政策資訊識別一種方式,該TS伺服器係要以該種方式與該TS客戶端互動,其中該閘道器計算裝置傳送該政策資訊給該TS伺服器且該TS客戶端不傳送該政策資訊給該TS伺服器;從該閘道器計算裝置傳送一符記到該TS伺服器及該TS客戶端之各者,其中當該TS伺服器接收到傳送給該TS客戶端的該符記時,傳送給該TS伺服器的 該符記由該TS伺服器用以識別該TS客戶端以及對該TS客戶端應用該政策資訊;停用該第一安全頻道;及在停用該第一安全通道之後,在該TS伺服器及該TS客戶端之間建立一第二安全通道,其中該第二安全通道被用以從該TS客戶端傳輸資料到該TS伺服器,使得該資料於該TS伺服器處被按照該政策資訊所處理,該政策資訊係先前從該閘道器計算裝置傳送到該TS伺服器。
  9. 如申請專利範圍第8項所述之儲存裝置,其中該政策資訊指示致能或除能一特徵,該特徵影響該TS客戶端。
  10. 如申請專利範圍第9項所述之儲存裝置,其中該特徵係裝置重新導向。
  11. 一種用於使用一遠端操作協定在一終端服務(TS)伺服器及一TS客戶端之間安全地傳送資料的閘道器系統,包含:一處理器;及一記憶體,該記憶體耦合至該處理器,該記憶體儲存:一政策模組,該政策模組由該處理器可操作,該政策模組經配置以產生政策資訊及一符記;及一閘道器安全性過濾模組,該閘道器安全性過 濾模組由該處理器可操作,該閘道器安全性過濾模組經配置以執行下列步驟:傳送該符記給該TS客戶端;在該閘道器系統與該TS伺服器之間建立一第一安全頻道,以從該閘道器系統傳送該政策資訊及符記資訊到該TS伺服器,其中該第一安全通道不涉及該TS客戶端,且該TS客戶端不傳送該政策資訊給該TS伺服器;停用該第一安全通道;以及在停用該第一安全通道之後,在該TS客戶端與該TS伺服器之間建立一第二安全頻道,以從該TS客戶端傳送資料到該TS伺服器,其中該所傳送資料包括該符記,該符記由該TS伺服器用以識別該TS客戶端及對該TS客戶端套用該政策資訊,使得該TS伺服器基於經由該第一安全通道所傳送的該政策資訊而對於從該TS客戶端傳送到該TS伺服器的後續資料採取動作。
  12. 如申請專利範圍第11項所述之閘道器系統,其中該遠端操作協定為遠端桌面協定(RDP)。
  13. 如申請專利範圍第11項所述之閘道器系統,其中該政策資訊指示致能或除能一特徵,該特徵影響該TS客戶端。
  14. 如申請專利範圍第13項所述之閘道器系統,其中該特 徵為裝置重新導向。
  15. 如申請專利範圍第13項所述之閘道器系統,其中該特徵關聯於該遠端操作協定的至少一封包。
TW097102893A 2007-02-28 2008-01-25 經由閘道器而安全應用連接政策的策略 TWI431983B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US11/680,518 US8201218B2 (en) 2007-02-28 2007-02-28 Strategies for securely applying connection policies via a gateway

Publications (2)

Publication Number Publication Date
TW200841652A TW200841652A (en) 2008-10-16
TWI431983B true TWI431983B (zh) 2014-03-21

Family

ID=39717478

Family Applications (1)

Application Number Title Priority Date Filing Date
TW097102893A TWI431983B (zh) 2007-02-28 2008-01-25 經由閘道器而安全應用連接政策的策略

Country Status (3)

Country Link
US (1) US8201218B2 (zh)
TW (1) TWI431983B (zh)
WO (1) WO2008106295A1 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8201218B2 (en) 2007-02-28 2012-06-12 Microsoft Corporation Strategies for securely applying connection policies via a gateway
US20090006537A1 (en) * 2007-06-29 2009-01-01 Microsoft Corporation Virtual Desktop Integration with Terminal Services
US8683062B2 (en) * 2008-02-28 2014-03-25 Microsoft Corporation Centralized publishing of network resources
US20090259757A1 (en) * 2008-04-15 2009-10-15 Microsoft Corporation Securely Pushing Connection Settings to a Terminal Server Using Tickets
US8612862B2 (en) 2008-06-27 2013-12-17 Microsoft Corporation Integrated client for access to remote resources
US8307103B2 (en) * 2009-03-09 2012-11-06 Microsoft Corporation Tear-free remote desktop protocol (RDP) display
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US8544076B2 (en) * 2009-11-11 2013-09-24 Blackberry Limited Using a trusted token and push for validating the request for single sign on
US8370474B1 (en) * 2010-03-26 2013-02-05 Sprint Communications Company L.P. Arbitration server for determining remediation measures in response to an error message from a content provider
JP5396568B2 (ja) 2010-06-29 2014-01-22 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信をセットアップするための、方法、サーバ、販売者デバイス、コンピュータプログラム及びコンピュータプログラム製品
US9015474B2 (en) * 2010-07-30 2015-04-21 Hewlett-Packard Development Company, L.P. Systems and methods for credentialing
US8973089B2 (en) * 2011-08-08 2015-03-03 Adobe Systems Incorporated Secure socket policy files for establishing secure socket connections
US9792555B2 (en) * 2013-01-04 2017-10-17 Siemens Energy, Inc. Probabilistic modeling and sizing of embedded flaws in ultrasonic nondestructive inspections for fatigue damage prognostics and structural integrity assessment
EP2972956A1 (en) * 2013-03-14 2016-01-20 Apperian, Inc. Control of an application on a remote computer device
CN105323174A (zh) * 2014-07-31 2016-02-10 中兴通讯股份有限公司 一种远程桌面协议网关进行路由交换的方法、设备及系统
US9979550B1 (en) * 2017-02-22 2018-05-22 The Network Protocol Company, Inc. Methods of facilitating packet-based connections

Family Cites Families (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5220674A (en) * 1987-07-17 1993-06-15 Digital Equipment Corporation Local area print server for requesting and storing required resource data and forwarding printer status message to selected destination
EP0737920B1 (en) * 1990-09-17 2000-06-28 Cabletron Systems, Inc. Method for isolating a network fault
CA2138302C (en) * 1994-12-15 1999-05-25 Michael S. Fortinsky Provision of secure access to external resources from a distributed computing environment
US5790853A (en) * 1994-12-22 1998-08-04 Fuji Xerox Co., Ltd. Workspace management apparatus
US5682478A (en) * 1995-01-19 1997-10-28 Microsoft Corporation Method and apparatus for supporting multiple, simultaneous services over multiple, simultaneous connections between a client and network server
US6901433B2 (en) * 1995-06-07 2005-05-31 Microsoft Corporation System for providing users with a filtered view of interactive network directory obtains from remote properties cache that provided by an on-line service
US5764887A (en) * 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
US6552813B2 (en) * 1996-06-11 2003-04-22 Sun Microsystems, Inc. Directing print jobs in a network printing system
US5884046A (en) * 1996-10-23 1999-03-16 Pluris, Inc. Apparatus and method for sharing data and routing messages between a plurality of workstations in a local area network
US6452692B1 (en) * 1996-12-02 2002-09-17 Sun Microsystems, Inc. Networked printer server
US5949975A (en) 1997-03-12 1999-09-07 Microsoft Corp. Method and system for negotiating capabilities when sharing an application program with multiple computer systems
US6310889B1 (en) * 1998-03-12 2001-10-30 Nortel Networks Limited Method of servicing data access requests from users
US6154787A (en) * 1998-01-21 2000-11-28 Unisys Corporation Grouping shared resources into one or more pools and automatically re-assigning shared resources from where they are not currently needed to where they are needed
US6167445A (en) * 1998-10-26 2000-12-26 Cisco Technology, Inc. Method and apparatus for defining and implementing high-level quality of service policies in computer networks
US6571245B2 (en) * 1998-12-07 2003-05-27 Magically, Inc. Virtual desktop in a computer network
US6463459B1 (en) * 1999-01-22 2002-10-08 Wall Data Incorporated System and method for executing commands associated with specific virtual desktop
US6510523B1 (en) * 1999-02-22 2003-01-21 Sun Microsystems Inc. Method and system for providing limited access privileges with an untrusted terminal
JP3220862B2 (ja) 1999-05-26 2001-10-22 株式会社高岳製作所 ネットワーク装置及びネットワーク用端末装置
US6615166B1 (en) * 1999-05-27 2003-09-02 Accenture Llp Prioritizing components of a network framework required for implementation of technology
US6519571B1 (en) * 1999-05-27 2003-02-11 Accenture Llp Dynamic customer profile management
US7165041B1 (en) * 1999-05-27 2007-01-16 Accenture, Llp Web-based architecture sales tool
US6957186B1 (en) * 1999-05-27 2005-10-18 Accenture Llp System method and article of manufacture for building, managing, and supporting various components of a system
US6721713B1 (en) * 1999-05-27 2004-04-13 Andersen Consulting Llp Business alliance identification in a web architecture framework
US6536037B1 (en) * 1999-05-27 2003-03-18 Accenture Llp Identification of redundancies and omissions among components of a web based architecture
US6473794B1 (en) * 1999-05-27 2002-10-29 Accenture Llp System for establishing plan to test components of web based framework by displaying pictorial representation and conveying indicia coded components of existing network framework
US6976262B1 (en) * 1999-06-14 2005-12-13 Sun Microsystems, Inc. Web-based enterprise management with multiple repository capability
US6470384B1 (en) * 1999-10-28 2002-10-22 Networks Associates, Inc. Modular framework for configuring action sets for use in dynamically processing network events in a distributed computing environment
US20040205473A1 (en) * 2000-01-27 2004-10-14 Gwyn Fisher Method and system for implementing an enterprise information portal
JP3641590B2 (ja) * 2000-03-13 2005-04-20 ヤフー株式会社 アクセス認証システム
US7111060B2 (en) * 2000-03-14 2006-09-19 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, a secure, cost-effective, web-enabled, integrated virtual office environment remotely accessible through a network-connected web browser
AU2001251248A1 (en) * 2000-04-03 2001-10-15 The Pugliese Company System and method for displaying and selling goods and services
US6981041B2 (en) * 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US6922724B1 (en) * 2000-05-08 2005-07-26 Citrix Systems, Inc. Method and apparatus for managing server load
US7334050B2 (en) * 2000-06-07 2008-02-19 Nvidia International, Inc. Voice applications and voice-based interface
US6854016B1 (en) * 2000-06-19 2005-02-08 International Business Machines Corporation System and method for a web based trust model governing delivery of services and programs
WO2002005065A2 (en) * 2000-07-11 2002-01-17 Juice Software, Inc. A method and system for integrating network-based functionality into productivity applications and documents
US6816905B1 (en) 2000-11-10 2004-11-09 Galactic Computing Corporation Bvi/Bc Method and system for providing dynamic hosted service management across disparate accounts/sites
US6915345B1 (en) * 2000-10-02 2005-07-05 Nortel Networks Limited AAA broker specification and protocol
US7269580B2 (en) 2000-10-03 2007-09-11 Celcorp, Inc. Application integration system and method using intelligent agents for integrating information access over extended networks
DE60131683T2 (de) * 2000-12-11 2008-10-30 Microsoft Corp., Redmond Verfahren und system zur verwaltung von mehreren netzwerk-betriebsmitteln
US7774838B2 (en) * 2001-02-14 2010-08-10 Tricerat, Inc. Thorough operation restriction
US6999912B2 (en) * 2001-03-13 2006-02-14 Microsoft Corporation Provisioning computing services via an on-line networked computing environment
US6836786B1 (en) * 2001-04-30 2004-12-28 Microsoft Corporation Method and apparatus for terminal server addressability via URL specification
US6970902B1 (en) * 2001-05-24 2005-11-29 Cisco Technology, Inc. Method and apparatus for providing a distributed service in a network
US20050198379A1 (en) * 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US20020198965A1 (en) * 2001-06-26 2002-12-26 Kraft Matthew J. Method and apparatus to facilitate establishing a distributed internet application platform
KR20030003314A (ko) * 2001-06-30 2003-01-10 (주)메타젠소프트 씬 클라이언트 아키텍쳐를 이용한 무선 pda 서비스시스템
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US7925737B2 (en) * 2001-09-17 2011-04-12 Hewlett-Packard Development Company, L.P. System and method for dynamic configuration of network resources
US6973482B2 (en) * 2001-10-01 2005-12-06 Microsoft Corporation Remote assistance
US7330872B2 (en) * 2001-10-02 2008-02-12 Citrix Systems, Inc. Method for distributed program execution with web-based file-type association
US7631084B2 (en) * 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
US7257613B2 (en) 2001-11-20 2007-08-14 Sun Microsystems, Inc. Methods to develop remote applications with built in feedback ability for use in a distributed test framework
US7219140B2 (en) * 2001-12-05 2007-05-15 Dennis Craig Marl Configuration and management systems for mobile and embedded devices
US7130891B2 (en) 2002-02-04 2006-10-31 Datasynapse, Inc. Score-based scheduling of service requests in a grid services computing platform
WO2003067361A2 (en) 2002-02-05 2003-08-14 Eutech Cybernetics Pte Ltd. Remote application publication and communication system
US6954930B2 (en) * 2002-02-19 2005-10-11 International Business Machines Corporation Remote validation of installation input data
US8135843B2 (en) * 2002-03-22 2012-03-13 Citrix Systems, Inc. Methods and systems for providing access to an application
US7080404B2 (en) * 2002-04-01 2006-07-18 Microsoft Corporation Automatic re-authentication
US7363363B2 (en) * 2002-05-17 2008-04-22 Xds, Inc. System and method for provisioning universal stateless digital and computing services
US20040010786A1 (en) * 2002-07-11 2004-01-15 Microsoft Corporation System and method for automatically upgrading a software application
US20040045004A1 (en) * 2002-08-29 2004-03-04 Manoj Cheenath System for runtime web service to java translation
DE10242919A1 (de) * 2002-09-16 2004-03-25 Siemens Ag System zur virtuellen Prozessanbindung über Remote Desktop Protocol (RDP)
US7010565B2 (en) 2002-09-30 2006-03-07 Sampson Scott E Communication management using a token action log
US7743158B2 (en) * 2002-12-04 2010-06-22 Ntt Docomo, Inc. Access network dynamic firewall
US7676675B2 (en) * 2003-06-06 2010-03-09 Microsoft Corporation Architecture for connecting a remote client to a local client desktop
US7861243B2 (en) * 2003-07-11 2010-12-28 Computer Associates Think, Inc. Automatically deploying program units to a cluster of networked servers
US7577743B2 (en) * 2003-08-01 2009-08-18 Sentillion, Inc. Methods and apparatus for performing context management in a networked environment
JP2005056207A (ja) * 2003-08-05 2005-03-03 Sanyo Electric Co Ltd ネットワークシステム、宅内機器制御サーバおよび仲介サーバ
GB0322797D0 (en) 2003-09-30 2003-10-29 Koninkl Philips Electronics Nv Query caching in a system with a content directory service
US7418472B2 (en) * 2003-09-30 2008-08-26 Microsoft Corporation Systems and methods for determining remote device media capabilities
US20050080909A1 (en) 2003-10-10 2005-04-14 Anatoliy Panasyuk Methods and apparatus for scalable secure remote desktop access
US20050097506A1 (en) * 2003-10-31 2005-05-05 Hewlett-Packard Development Company, L.P. Virtual desktops and project-time tracking
US20050125739A1 (en) * 2003-11-20 2005-06-09 Thompson Jeffrey W. Virtual desktop manager system and method
US7720906B2 (en) * 2003-11-24 2010-05-18 Microsoft Corporation Web service for remote application discovery
US7590713B2 (en) * 2003-11-24 2009-09-15 Microsoft Corporation Presenting a merged view of remote application shortcuts from multiple providers
US7475125B2 (en) * 2003-11-24 2009-01-06 Microsoft Corporation Seamless discovery of workstation-installed remote applications from an extranet
US8590032B2 (en) * 2003-12-10 2013-11-19 Aventail Llc Rule-based routing to resources through a network
US20050198303A1 (en) * 2004-01-02 2005-09-08 Robert Knauerhase Dynamic virtual machine service provider allocation
KR20050090263A (ko) * 2004-03-08 2005-09-13 삼성전자주식회사 유동적 주소를 갖는 서버와의 통신 방법
WO2005103874A2 (en) * 2004-04-16 2005-11-03 Cascade Basic Research Corp. Modelling relationships within an on-line connectivity universe
US20050251855A1 (en) * 2004-05-04 2005-11-10 Hob Gmbh & Co. Kg Client-server-communication system
US20060010125A1 (en) 2004-05-21 2006-01-12 Bea Systems, Inc. Systems and methods for collaborative shared workspaces
US20050267972A1 (en) * 2004-05-25 2005-12-01 Nokia Corporation Lightweight remote display protocol
US7587755B2 (en) * 2004-07-02 2009-09-08 Citrix Systems, Inc. System and method for executing interactive applications with minimal privileges
ATE535078T1 (de) * 2004-07-23 2011-12-15 Citrix Systems Inc Verfahren und system zur sicherung von zugriff aus der ferne auf private netze
US7783987B2 (en) * 2004-07-30 2010-08-24 Microsoft Corporation User experience enforcement
US7634539B2 (en) 2004-08-02 2009-12-15 Sap Ag Relations between collaboration workspaces
US7590750B2 (en) * 2004-09-10 2009-09-15 Microsoft Corporation Systems and methods for multimedia remoting over terminal server connections
US8613048B2 (en) * 2004-09-30 2013-12-17 Citrix Systems, Inc. Method and apparatus for providing authorized remote access to application sessions
US7483961B2 (en) * 2004-11-23 2009-01-27 Microsoft Corporation Method and apparatus for controlling execution of an application
US7409362B2 (en) * 2004-12-23 2008-08-05 Diamond Review, Inc. Vendor-driven, social-network enabled review system and method with flexible syndication
US7810148B2 (en) * 2005-02-25 2010-10-05 Microsoft Corporation Enabling terminal services through a firewall
ATE418836T1 (de) 2005-03-21 2009-01-15 Hewlett Packard Development Co Mobiles klientgerät und system mit unterstützung von fernverwaltungsgeräten
US20060230105A1 (en) * 2005-04-06 2006-10-12 Ericom Software B 2001 Ltd Method of providing a remote desktop session with the same look and feel as a local desktop
US20060230438A1 (en) 2005-04-06 2006-10-12 Ericom Software Ltd. Single sign-on to remote server sessions using the credentials of the local client
US7657837B2 (en) * 2005-04-06 2010-02-02 Ericom Software Ltd. Seamless windows functionality to remote desktop sessions regarding z-order
US8326993B2 (en) 2005-04-29 2012-12-04 Microsoft Corporation Techniques for managing terminal services sessions
US20060282855A1 (en) 2005-05-05 2006-12-14 Digital Display Innovations, Llc Multiple remote display system
US7627569B2 (en) * 2005-06-30 2009-12-01 Google Inc. Document access control
US9390395B2 (en) 2005-11-30 2016-07-12 Oracle International Corporation Methods and apparatus for defining a collaborative workspace
US7779091B2 (en) 2005-12-19 2010-08-17 Vmware, Inc. Method and system for providing virtualized application workspaces
US7533136B2 (en) 2005-12-22 2009-05-12 Oracle International Corporation Efficient implementation of multiple work areas in a file system like repository that supports file versioning
US7774710B2 (en) 2005-12-28 2010-08-10 Sap Ag Automatic sharing of online resources in a multi-user computer system
US8627490B2 (en) 2005-12-29 2014-01-07 Nextlabs, Inc. Enforcing document control in an information management system
US20070168525A1 (en) 2006-01-18 2007-07-19 Deleon Baltazar Iii Method for improved virtual adapter performance using multiple virtual interrupts
US20070174429A1 (en) 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
US8769127B2 (en) 2006-02-10 2014-07-01 Northrop Grumman Systems Corporation Cross-domain solution (CDS) collaborate-access-browse (CAB) and assured file transfer (AFT)
US20070233804A1 (en) 2006-03-31 2007-10-04 Microsoft Corporation Providing remote application access in accordance with decentralized configuration information
US7904563B2 (en) 2006-03-31 2011-03-08 Microsoft Corporation Establishing and utilizing terminal server dynamic virtual channels
US8151323B2 (en) 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
US7512903B2 (en) 2006-04-13 2009-03-31 International Business Machines Corporation Selectively displaying in an IDE
US7730302B2 (en) * 2006-05-05 2010-06-01 Microsoft Corporation Secure and modifiable configuration files used for remote sessions
US7633483B2 (en) * 2006-06-27 2009-12-15 Microsoft Corporation Display extension using terminal clients
US20080015927A1 (en) * 2006-07-17 2008-01-17 Ramirez Francisco J System for Enabling Secure Private Exchange of Data and Communication Between Anonymous Network Participants and Third Parties and a Method Thereof
US20080127348A1 (en) * 2006-08-31 2008-05-29 Kenneth Largman Network computer system and method using thin user client and virtual machine to provide immunity to hacking, viruses and spy ware
US8266683B2 (en) * 2006-09-08 2012-09-11 Imation Corp. Automated security privilege setting for remote system users
US8327350B2 (en) * 2007-01-02 2012-12-04 International Business Machines Corporation Virtual resource templates
US8201218B2 (en) 2007-02-28 2012-06-12 Microsoft Corporation Strategies for securely applying connection policies via a gateway
US20080222299A1 (en) * 2007-03-07 2008-09-11 Trusteer Ltd. Method for preventing session token theft
US20080228865A1 (en) * 2007-03-15 2008-09-18 Nazareno Brier Cruzada Electronic personal computing and videophone system consisting of a remote server system providing dynamic, subscription based virtual computing services & resources, a thin client hardware device connected to a television set and wireless keyboard & mouse, and a wireless mobile device (a Pocket PC Phone)
JP5084314B2 (ja) 2007-03-19 2012-11-28 株式会社リコー 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理プログラムを記録する記録媒体
US20080250407A1 (en) * 2007-04-05 2008-10-09 Microsoft Corporation Network group name for virtual machines
US20080034408A1 (en) * 2007-04-23 2008-02-07 Sachin Duggal Network-Based Computing Service On A Streamed Virtual Computer

Also Published As

Publication number Publication date
US8201218B2 (en) 2012-06-12
US20080209538A1 (en) 2008-08-28
TW200841652A (en) 2008-10-16
WO2008106295A1 (en) 2008-09-04

Similar Documents

Publication Publication Date Title
TWI431983B (zh) 經由閘道器而安全應用連接政策的策略
US11792169B2 (en) Cloud storage using encryption gateway with certificate authority identification
AU2017204316B2 (en) Providing devices as a service
US10943198B2 (en) Method and system for enabling data usage accounting through a relay
US8316139B2 (en) Systems and methods for integrating local systems with cloud computing resources
JP2023116573A (ja) クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ
US7941549B2 (en) Protocol exchange and policy enforcement for a terminal server session
JP2020064668A (ja) ネットワーク接続自動化
US11277381B2 (en) Multi-channel based just-in-time firewall control
US9232012B1 (en) Method and system for data usage accounting in a computing device
KR20180002841A (ko) 비-관리 비-보안 장치에서의 리소스 액세스 및 배치를 위한 안전한 컨테이너 플랫폼
JP2014099160A (ja) ウェブ・リアルタイム通信(webrtc)対話セッションに対する企業ポリシーの分散適用、ならびに関連する方法、システム、およびコンピュータ可読媒体
CN104967590B (zh) 一种传输通信消息的方法、装置和系统
CA3066728A1 (en) Cloud storage using encryption gateway with certificate authority identification
KR100651719B1 (ko) 투명성을 보장하는 전송 계층에서의 보안 제공 방법 및 그장치
CN115022101B (zh) 账户数据的更改方法、装置、计算机设备和存储介质
US9232013B1 (en) Method and system for enabling data usage accounting
KR102034528B1 (ko) 다중 채널 기반 데이터 송수신 방법 및 장치
Al-Hakeem et al. Development of Fast Reliable Secure File Transfer Protocol (FRS-FTP)

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees