TWI497337B - 用於直接存取網路之網路位置確定的方法、系統及電腦可讀取媒體 - Google Patents
用於直接存取網路之網路位置確定的方法、系統及電腦可讀取媒體 Download PDFInfo
- Publication number
- TWI497337B TWI497337B TW098135996A TW98135996A TWI497337B TW I497337 B TWI497337 B TW I497337B TW 098135996 A TW098135996 A TW 098135996A TW 98135996 A TW98135996 A TW 98135996A TW I497337 B TWI497337 B TW I497337B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- client device
- response
- client
- request
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Description
本發明係關於直接存取網路的網路位置確定。
多數公司都運用電腦網路,因為藉由讓資訊可在許多位置分享而簡化業務程序。在許多實例當中,公司提供網路權限給員工和其他授權的團體,而即使這些團體並不在公司內也可存取。
公司網路可利用一或多個網域控制器,限制只有授權團體可以存取網路資源,這些控制器有時稱為有效目錄(Active Directory)伺服器。網域控制器可驗證使用者,識別是否應該答應賦予網路權限。在某些實例內,可以有多個網域控制器。若要將連接至網路的裝置映射至附近的網域控制器,每一網域控制器可具有識別來源網路位址範圍的表。當網域控制器接收來自裝置的要求時,可由裝置附近的網域控制器識別該裝置來回應。
透過虛擬專用網路(virtual private network,VPN)提供對於公司網路的遠端存取。運用VPN,授權使用者所操作的電腦通過遠端電腦可連接的公眾網路,透過VPN閘道伺服器與公司網路建立隧道(tunnel)。因為透過VPN隧道連接的電腦屬於公司網路的一部分,所以就可使用公司網路上的資源。
在許多允許遠端存取公司網路的公司內,使用可攜式電腦進行網路存取,可攜式電腦可用在公司內,其中該可攜式電腦可實體連接至公司網路,而其他時候可攜式電腦可帶到外地,其中透過VPN本地連接至網路。為了方便使用,這種電腦可經組態成具有兩種不同的設定群組:一種適用於專用公司網路上,另一種適用於當電腦連接至公眾網路而在其上建立VPN隧道時。這些設定會影響可攜式電腦的操作,像是預設印表機、首頁、時鐘的時區設定或安全功能。例如:當可攜式電腦直接連接至網路時所用的安全設定依賴公司網路的防火牆或其他保護組件,因此限制較低,而當可攜式電腦透過VPN連接至公司網路時,則應用限制較高的安全組態。
為了決定適用的設定群組,可攜式電腦包含網路位置認知組件,其可指示出電腦對網路所連線的類型。傳統上來說,由嘗試針對網路上網域控制器進行驗證來確認網路位置。若可攜式電腦經過網域控制器驗證,則可組態具有適合直接連接至公司網路之設定。若未通過驗證,可使用不同的設定。
在其他範圍內,某些電腦顯示電腦是否已經連接至網際網路的指示。電腦可利用嘗試接觸網際網路上已知的伺服器,來判斷連線狀態。若電腦接收到該伺服器的回應,推論已經連接至網際網路並因此顯示指示。
本發明者瞭解,用遠端電腦直接存取專用網路即將蔚為風潮。在不使用VPN就可遠端存取時,遠端裝置將可針對專用網路上的網域控制器進行驗證。
本發明者進一步瞭解,直接存取將依賴有無能力針對網域控制器驗證成為安全網路位置指示,改變網路位置認知組件的操作。在僅由用網域控制器驗證的能力來決定網路位置指示之後,將無法分辨出遠端裝置未使用VPN連接至網路的情況和用戶端實體連接至網路或透過VPN連線連接至網路之情況。仍然,使用者或電腦管理員並不期望或不要遠端電腦在這些不同案例中擁有相同設定。
為了維護適當設定,專用網路可組態具有一或多個裝置,而根據用戶端裝置網路位址部分,對於用戶端裝置的要求有不同回應。在從具有網路位址(其指示用戶端裝置實體連接至網路防火牆內網路)之用戶端裝置處接收要求時,做出第一回應。而在從具有網路位址(其指示用戶端裝置為未連接至網路防火牆內網路的遠端裝置)之用戶端裝置處接收要求時,做出不同的第二回應。並且在從透過使用VPN連接在網路防火牆內的遠端用戶端裝置處接收要求時,做出可能的第三回應,不過在此第三種案例中,根據某些具體實施例,網路可另外組態來產生第一回應。仍舊在其他具體實施例內,在第三種案例中,網路可另外組態來產生第二回應。不管特定組態,根據用戶端裝置所接收回應的性質,用戶端裝置可選擇適當的組態。
上述為本發明的未受限制發明內容,其由申請專利範圍所定義。
對於組態成存取公司、企業或其他專用網路的電腦而言,利用組態電腦以嘗試與網路上裝置通訊可提供改善過的網路位置認知能力。利用組態裝置根據網路連線性質對裝置產生不同回應,電腦可根據該回應取得有關自身位置有用的資訊。例如:透過實體連線或VPN連接至專用網路的電腦會與專用網路之外,但是透過像是網際網路這類公眾網路的遠端存取機制連接至專用網路的裝置經歷不同之回應。
此資訊即使在可取得直接網路存取時也正確,並允許電腦以導致某些傳統網路位置確定方法錯誤指示電腦直接連接至專用網路的方式,向專用網路上網域控制器提出驗證。當使用此位置資訊選擇適當安全組態時,比較安全的組態會提供給電腦。例如:電腦可組態成在不同安全狀態下操作,其中一項適用於當電腦實體連接至公司專用網路時,因此位於防火牆後面。其他安全狀態適用於其中電腦透過安全VPN隧道虛擬連接至專用網路的案例。仍舊其他案例可套用,其中電腦未直接在專用網路上,而是實體或虛擬透過VPN隧道,因此不受專用網路的防火牆保護。這種安全狀態可用任何合適的方式實施,在某些實例中,該安全狀態由電腦上支援不同組態的防火牆所實施。當未直接連線至網路時,防火牆可具有限制更高的組態。相較之下,當電腦直接連接至網路時,可提供限制較低的防火牆組態。類似地,當根據電腦位置選擇其他設定時,更精確決定位置可自動選擇這些設定,以提供更期待的使用者體驗。
一定數目的方式中之任何一種都適用於根據發出提示回應之要求的電腦位置,組態裝置以產生不同回應。在某些具體實施例內,使用網路封包的特定到達介面,以識別電腦位置。在其他具體實施例內,使用網路封包的標題內之資訊,以識別電腦位置。例如:若裝置有方式知道該網路位址真實,封包標題內的網路位址包含的要求或回應可讓網路裝置決定發出要求的電腦是否實際位於網路上。針對特定範例,一旦電腦利用可成功建立TCP連線,顯示可接收目的地為該位址的封包,該位址的網路前綴碼(prefix)部分指示電腦位置。
處理這種封包的任何合適裝置都可組態成根據這種封包是否有指示已經從網路防火牆之後或該網路防火牆之外的裝置接收或傳送至該網路防火牆之後或該網路防火牆之外的裝置之網路前綴碼,而有不同回應。在某些具體實施例內,該要求可指引至網路上的伺服器。該伺服器可設計成根據發出要求的電腦位置做出不同回應,像是現今具有網域控制器的情況。在其他具體實施例內,一或多個處理封包至伺服器或處理來自伺服器之封包的中間裝置,對於要求的回覆會根據發出要求的電腦位置而有所不同,例如:像是防火牆這類中間裝置可根據與在封包標題內發出要求的電腦相關之網路前綴碼,選擇性阻擋內含該要求或回覆的封包。
從前述某些具體實施例的觀點來說,精通此技術的人士可瞭解,根據一或多個電腦裝置的設計來建構具體實施例。在提供示例性具體實施例結構與操作的更詳細說明之前,在此先提供計算裝置內存在的組件概觀。
第1圖說明可用來實施本發明某些具體實施例的合適計算系統環境100之範例。計算系統環境100只為合適計算環境的一個範例,並不用於對本發明的使用或功能性範疇做任何限制。也不可將計算環境100解釋成具有與示例性操作環境100內說明的任一組件或組件組合有關之相依性或要件。
請參閱第1圖,實施本發明的示例性系統包含形式上為電腦110的一般用途計算裝置。電腦110的組件可包含但不限於一處理單元120、一系統記憶體130以及可將包含系統記憶體的許多系統組件耦合到處理單元120的系統匯流排121。系統匯流排121可以是許多種匯流排結構,其包含記憶體匯流排或記憶體控制器、周邊匯流排以及使用許多匯流排架構任一的本機匯流排。藉由範例並且不做限制,這種架構包含工業標準架構(Industry Standard Architecture,ISA)匯流排、微通道架構(Micro Channel Architecture,MCA)匯流排、強化型ISA(Enhanced ISA,EISA)匯流排、視電標準協會(Video Electronics Standards Association,VESA)本機匯流排以及周邊組件互連(Peripheral Component Interconnect,PCI)匯流排,也就是已知的小背板(Mezzanine)匯流排。
電腦110一般包含許多電腦可讀取媒體,電腦可讀取的媒體可以為任何可獲得的媒體(可由電腦110存取),並且包含揮發以及非揮發性媒體、可移除與不可移除媒體。藉由範例並且不受限於此範例,電腦可讀取的媒體可包含電腦儲存媒體以及通訊媒體。電腦儲存媒體包含在任何方法或技術內實施的揮發與非揮發性、可移除與不可移除媒體,用於儲存像是電腦可讀取指令、資料結構、程式模組或其他資料等等資訊。電腦儲存媒體包括但不受限於RAM、ROM、EEPROM、快閃記憶體或其他記憶體技術,CD-ROM、數位多功能光碟(digital versatile disk,DVD)或其他光學碟片儲存、磁匣、磁帶、磁片儲存或其他磁性儲存裝置,或其他任何可用於儲存所要資訊並且可由電腦110存取的媒體。通訊媒體一般具體化電腦可讀取指令、資料結構、程式模組或其他調變資料信號內的資料,像是載波或其他傳輸機制並且包含任何資訊傳遞媒體。術語「調變資料信號」代表具有以信號內編碼資訊這種方式來變更或設定一或多個特徵值的信號。藉由範例並且不受限於此範例,通訊媒體包含像是有線網路或直接有線連線的有線媒體,以及像是聲音、RF、紅外線以及其他無線媒體的無線媒體。上述任何媒體的組合也應該包含在電腦可讀取媒體的範疇內。
系統記憶體130包含揮發及/或非揮發性記憶體形式的電腦儲存媒體,像是唯讀記憶體(read only memory,ROM)131以及隨機存取記憶體(random access memory,RAM)132。基本輸入/輸出系統133(basic input/output system,BIOS)包含有助於在電腦110內元件之間(像是啟動時)傳輸資訊的基本例式,該基本輸入/輸出系統133一般儲存在ROM 131內。RAM 132一般包含可立即存取及/或在處理單元120上操作呈現的資料及/或程式模組。藉由範例但不受限於此範例,第1圖說明作業系統134、應用程式135、其他程式模組136以及程式資料137。
電腦110也可包含其他可移除/不可移除、揮發/非揮發性電腦儲存媒體。只藉由範例,第1圖說明讀取自或寫入不可移除、非揮發磁性媒體的硬碟機140、讀取自或寫入可移除、非揮發性磁碟152的磁碟機151以及讀取自或寫入可移除、非揮發性光碟156,像是CD-ROM或其他光學媒體的光碟機155。其他可在示例性作業環境內使用的可移除/不可移除、揮發/非揮發性電腦儲存媒體包含但不受限於:磁帶匣、快閃記憶卡、數位多功能光碟、數位影帶、固態RAM、固態ROM等等。硬碟機141一般透過像是介面140這種不可移除記憶體介面連接至系統匯流排121,並且磁碟機151與光碟機155一般透過像是介面150這種可移除記憶體介面連接至系統匯流排121。
上面討論以及第1圖內說明的磁碟機(光碟機)以及隨附之電腦儲存媒體提供了電腦可讀取指令、資料結構、程式模組及其他電腦110資料的儲存。例如在第1圖內說明的硬碟機141用於儲存作業系統144、應用程式145、其他程式模組146以及程式資料147。請注意,這些組件可與作業系統134、應用程式135、其他程式模組136以及程式資料137相同或不同。在此賦予作業系統144、應用程式145、其他程式模組146以及程式資料147不同的編號,以說明至少這些是不同的版本。使用者可透過輸入裝置,像是鍵盤162與指標裝置161(通稱為滑鼠、軌跡球或觸控板)將命令與資訊輸入電腦110內。其它輸入裝置(未顯示)可包含麥克風、搖桿、遊戲控制器、衛星碟、掃描器等等。這些與其他輸入裝置通常透過與系統匯流排耦合的使用者輸入介面160連接到處理單元120,但也可由其他介面與匯流排結構來連接,像是並列埠、遊戲埠或萬用序列匯流排(universal serial bus,USB)。監視器191或其他種顯示裝置也可透過介面,像是視訊介面190,連接到系統匯流排121。除了監視器以外,電腦也可包含其他周邊輸出裝置,像是喇叭197與印表機196,這些可透過輸出周邊介面195來連接。
電腦110可使用邏輯連線至一或多部遠端電腦,像是遠端電腦180來在網路環境內運作。遠端電腦180可為個人電腦、伺服器、路由器、網路PC、點裝置或其他共用網路節點,並且通常包含上述有關電腦110的許多或全部元件,不過第1圖內只顯示一個記憶體儲存裝置181。第1圖內說明的邏輯連線包含區域網路(local area network,LAN)171以及廣域網路(wide area network,WAN)173,但是也可包含其他網路。這種網路環境在辦公室、企業電腦網路、內部網路以及網際網路內相當稀鬆平常。
當用於LAN網路環境內,電腦110透過網路介面或配接器170連接到LAN 171。當用於WAN網路環境內,電腦110一般包含數據機172或其他在WAN 173(像是網際網路)上建立通訊的構件。內接或外接的數據機172可透過匯流排輸入介面160或其他適當機制連接至系統匯流排121。在網路環境中,與電腦110相關的程式模組或部分程式模組可儲存在遠端記憶體儲存裝置內。藉由範例但不受限於此範例,第1圖說明位於記憶體裝置181上的遠端應用程式185。吾人可瞭解所顯示的網路連線為示例性,所以可使用在電腦之間建立通訊聯結的其他構件。
第2圖說明其中可實現本發明的網路計算環境。該網路計算環境包含一種網路,其可為像是公司內部網路的安全網路200。安全網路200可包含實體連接至安全網路200的網路計算裝置,這種網路計算裝置可為作為網域控制器210的電腦。網域控制器已為吾人所熟知,並且網域控制器210可用業界內熟知的技術來實施。不過,任何合適的技術都可用來建構網域控制器210。一個網域控制器210的範例為在Windows 2003伺服器作業系統上運行有效目錄(Active Directory)的計算系統100。
其他網路計算裝置可為扮演名稱伺服器212角色的電腦,像是任何運行DNS服務的裝置組合。名稱伺服器也為業界所熟知,並且名稱伺服器212可用已知技術實施。不過,任何合適的技術都可用來實施名稱伺服器212。針對替代技術的範例,可在與網域控制器210相同的電腦上實施名稱伺服器。
安全網路也可包含實體連接至安全網路200的使用者用戶端電腦214,其可存取安全網路200內的計算資源,像是網域控制器210和名稱伺服器212。用戶端電腦214可在提供安全網路200的公司內。在這種案例中,利用將用戶端214透過有線或無線連線連接至公司的網路存取點,如此就可達成實體連線。不過,可運用達成實體連線至安全網路200的任何合適機制。
在第2圖說明的案例中,用戶端214經過網域控制器210的驗證。因此,用戶端214可存取安全網路200上的資源。利用雙向網路連結說明使用者用戶端214對於計算資源的存取,該連結為像是用戶端214與網域控制器210之間的連結220以及用戶端214與名稱伺服器212之間的連結222。
第2圖的網路計算環境也包含安全網路200所連接的其他網路,像是第2圖內說明的範例,網際網路230。像是使用者用戶端電腦234這類遠端計算裝置可連接至網際網路230。在此,用戶端電腦234可為膝上型計算裝置或其他行動計算裝置。因此,雖然用戶端234和214顯示為個別裝置,不過遠端用戶端234可為與用戶端214相同的裝置,但是在不同時間地點內運作。例如:用戶端214可代表上班時間在辦公室內操作安全網路200的員工所使用之行動電腦。遠端用戶端234可為員工下班後帶回家使用的同一部行動電腦。
不管用於實施用戶端214和234的特定硬體,第2圖所說明的環境可支援多部裝置,任何一部裝置都可連接至網路防火牆之內或之外的安全網路200。用戶端可在防火牆內部利用直接連線(有線連線、無線連線或透過任何其他合適媒體的連線),透過存取點、路由器、交換器、集線器、安全隧道或其他網路元件連接至安全網路200上的其他裝置。用戶端可使用遠端存取機制依賴網際網路230或其他外部網路之上的通訊,遠端連接至防火牆之外的安全網路200。
網路計算環境也包含用於安全網路200的非軍事區(Demilitarized Zone,DMZ)240,允許安全網路200與網際網路230之間受限制的網路通訊。DMZ 240可包含阻擋未授權流量的組件,像是防火牆,以及允許某些流量通過的其他組件。DMZ 240可包含網路計算裝置,像是作為直接存取伺服器250的計算系統。在說明的具體實施例內,直接存取伺服器250可實施成為路由器。未實體連接至安全網路200的用戶端,像是用戶端電腦234,可透過直接存取伺服器250連接而不使用VPN就與安全網路內的計算資源直接通訊,該記算資源為像是網域控制器210和名稱伺服器212。利用通過直接存取伺服器250的雙向網路連結說明使用者用戶端234對於安全網路內計算資源的直接存取,該連結為像是用戶端234與網域控制器210之間的連結260以及用戶端234與名稱伺服器212之間的連結262。如所說明,像是用戶端234的遠端用戶端可存取安全網路200上相同的網路資源,作為實體連接至安全網路200的電腦,像是用戶端214。
結果,像是用戶端214的用戶端234可通過網域控制器210的驗證。若用戶端234根據通過網域控制器210驗證的能力建立自己的安全狀態,則用戶端234具有與用相同方式組態安全狀態的用戶端214不同之安全風險。雖然由DMZ 240和網際網路230上其他裝置隔開的用戶端214還是會遭惡意的第三方所使用,不過用戶端234卻不會。如此,雖然因為安全網路200上的所有其他裝置都可信賴而讓用戶端214可適當使用限制較低的安全設定,不過用戶端234若還是使用相同限制較低的安全設定,則可能暴露在來自網際網路230所連接裝置之風險下。如此在某些具體實施例內,即使用戶端234通過網域控制器210驗證,用戶端234的安全狀態還是根據其網路位置確定來建立,與通過網域控制器210驗證的能力無關。
雖然建立用戶端安全相關動作的設定用來作為根據網路位置選擇設定之範例,不過也可類似地選擇其他種設定。例如:若用戶端234根據網路位置建立任何其他種設定,則無法正確運作或遭遇到在無法精確確定網路位置之情況下使用者所預期會發生的問題。因此,可套用此處說明的技術,以改善根據網路位置的任何設定之選擇。
第3圖說明網路計算環境,類似於第2圖的環境。第3圖內的DMZ 240進一步併入VPN閘道伺服器358。VPN閘道伺服器358為一種計算裝置,其提供業界所熟知的VPN閘道功能。同時畫出VPN用戶端344,其實體連接至網際網路230。如同用戶端電腦234,VPN用戶端344可為膝上型計算裝置或其他行動計算裝置。VPN閘道伺服器358允許電腦非實體連接至安全網路200,像是VPN用戶端344,以利用建立VPN閘道伺服器358與VPN用戶端344之間的安全隧道360,建立至安全網路的虛擬連線。一旦通過VPN閘道伺服器358建立安全隧道360,VPN用戶端344虛擬連接至網路防火牆內的安全網路200,其包含安全網路200的邏輯部分。
第3圖也併入機制以允許像是使用者用戶端214、使用者用戶端234和VPN用戶端344這些計算裝置安全決定是否直接連接至安全網路200。網路計算環境進一步包含在連接至安全網路200的計算裝置上執行之網路服務,像是用於網路位置認知的HTTPS服務352。HTTPS服務352的實施範例為Apache HTTP伺服器以及Microsoft網際網路資訊服務。在此具體實施例中,HTTPS服務352在直接存取伺服器250上執行,但其也可在連接至安全網路200的任何計算裝置上執行。藉由使用HTTPS作為安全通訊協定的範例,吾人應該瞭解具體實施例內可使用具有安全通訊協定的任何服務,HTTPS只是範例。
直接存取伺服器250提供兩網路介面:專用介面354與公眾介面356。專用介面354提供直接存取伺服器250與直接連接至安全網路的網路計算裝置,像是使用者用戶端214和VPN用戶端344,之間的連線。公眾介面356提供直接存取伺服器與安全網路200之外的網路計算裝置,像是使用者用戶端234,之間的連線。在說明的具體實施例內,公眾介面356和專用介面354都經組態成針對特定要求,網路用戶端將根據其位置發覺不同的回應。例如:用戶端214實體連接至安全網路200,因為公眾介面356和專用介面354的動作,將發覺對於特定要求與用戶端234不同的回應。介面354和356經組態成透過專用介面354通訊的用戶端可與HTTPS服務352通訊,但是透過公眾介面356通訊的用戶端無法與HTTPS服務352通訊。用戶端234與連接至安全網路200的其他網路計算裝置間之其他網路通訊允許通過公眾介面356。如此在此具體實施例內,用戶端214和VPN用戶端344將接收對於傳送至HTTPS服務352的要求之回覆。相較之下,用戶端234將不接收對於傳送至HTTPS服務352的要求之回覆。如此,用戶端可視回應是否被接收而定,來發覺不同的回應。
在第3圖內,利用單向或雙向網路連結來說明網路計算裝置能否與其他裝置通訊。通過公眾介面356和直接存取伺服器250的雙向連結說明與安全網路200內網路計算資源通訊之能力,像是用戶端234與網域控制器210之間的連結260以及用戶端234與名稱伺服器212之間的連結262。類似地,通過專用介面354和直接存取伺服器250的雙向連結364說明使用者用戶端214與HTTPS服務352之間的連接性。同樣地,通過安全隧道360、VPN閘道伺服器358、直接存取伺服器250和專用介面354的雙向連結376說明在VPN用戶端344與HTTPS服務352之間通訊的能力。另一方面,使用者用戶端234與HTTPS服務352之間的單向連結374不通過公眾介面356,說明無能力通過公眾介面通訊至HTTPS服務352。
直接連接至網路防火牆內安全網路200的用戶端,像是用戶端214或VPN用戶端344,可通過專用介面354通訊至HTTPS服務352,因此可對HTTPS伺服器352發出要求並接收回覆。根據來自HTTPS伺服器352的回覆,用戶端214或VPN用戶端344可決定其實體連接至安全網路並據此設定安全政策。另一方面,不直接連接至安全網路200的用戶端,像是用戶端234,無法通過公眾介面356通訊至HTTPS服務352,因此無法對HTTPS伺服器352發出要求並接收回覆。根據無來自HTTPS伺服器352的回覆,用戶端234可確定其未實體連接至安全網路200,並可將安全政策組態成比其實體連接至安全網路200時還嚴格。
在第3圖的具體實施例內,像是VPN用戶端344的計算裝置通過虛擬連線直接連接至安全網路200,但是實體未連接至安全網路200,可通過專用介面354連接來與HTTPS服務352通訊。如此在此具體實施例內,VPN用戶端344將接收對於傳送至HTTPS服務352的要求之回覆。不過其他具體實施例可用不同方式對待虛擬上連接但實體上未連接至安全網路200之計算裝置,例如在其他具體實施例內,專用介面354不允許VPN用戶端344與HTTPS服務352之間通訊。在此情況下,VPN用戶端344不會接收對HTTPS服務352所發出要求之回覆,並且如同用戶端234,可決定其將安全政策組態成比其實體連接至安全網路200時還嚴格。仍舊在其他具體實施例內,專用介面354允許HTTPS服務352與VPN用戶端344之間通訊,但是HTTPS服務352可組態成提供與提供給使用者用戶端214的回應不同類型之回應給VPN用戶端344。這其他類型回應讓VPN用戶端344決定其應該為第三類型設定,像是安全設定比用戶端214的更嚴格,但是比用戶端234的較不嚴格。
專用介面354可用業界內熟知的技術來實施。公眾介面356可使用類似的已知介面技術來實施,不過公眾介面356可修改成阻擋與遠端用戶端的通訊,可使用任何合適的阻擋機制。例如:公眾介面356可組態具有過濾組件,其根據封包標題內含的目的地位址來阻擋網路封包。例如:公眾介面356可阻擋包含目的地位址為HTTPS服務352的所有傳入封包。不過,也可使用其他實施方式。例如:公眾介面356可阻擋包含來源位址指示封包係由HTTPS服務352產生的任何外送封包。
在第3圖說明的具體實施例內,公眾介面356阻擋在遠端用戶端(像是用戶端234)與HTTPS服務352之間交換的所有封包。這種實施適合當HTTPS服務352並未執行遠端用戶端所要存取的功能之時。在具體實施例內,當遠端用戶端與HTTPS服務352之間要有某些互動時,公眾介面356的過濾組件可進一步組態成根據封包內資訊性質來過濾封包。例如:HTTPS服務352可組態成特別提供一要求的回應,讓遠端用戶端決定其網路位置。公眾介面356的過濾組件可組態成試驗封包部分,其識別封包內含資訊的性質。根據這種試驗,過濾組件只阻擋內含用於決定網路位置的要求或回應之封包傳輸。
用於位置認知的網路服務,像是HTTPS服務352,是安全無虞的,以允許網路服務用戶端,像是用戶端214、用戶端234或VPN用戶端344,能確認服務的識別或安全身份碼,並確定用戶端是否應該信賴接收自該服務的回覆。例如在某些具體實施例內,HTTPS服務352的回覆可包含內有HTTPS服務識別的SSL憑證,如此服務的用戶端,像是用戶端214,可驗證來決定是否信賴來自HTTPS服務352的回覆。若用戶端214決定信賴來自HTTPS服務352的回覆,則可假設其實體連接至安全網路200,並據此實施安全設定成較低限制狀態。另一方面,若用戶端214無法驗證HTTPS服務352回傳的SSL憑證,則用戶端214認為尚未接收來自服務352的回覆,並假設未實體連接至安全網路200,並且實施限制更多的安全設定。
第4圖說明類似於第2圖的環境之網路計算環境,其根據某些其他具體實施例組態成支援網路位置確定。在第4圖的具體實施例內,DMZ 240進一步合併作為防火牆442的網路裝置。防火牆442分析從安全網路200之外的裝置到DMZ 240內或安全網路200內計算裝置之網路通訊,並允許或不允許某些這種通訊。尤其是,防火牆442不允許從安全網路之外的裝置,像是用戶端234,通訊至HTTPS服務352,但允許從安全網路之外的裝置,像是用戶端234,通訊至安全網路之內的其他網路計算資源,像是網域控制器210和名稱伺服器212。利用雙向連結260和262可瞭解,防火牆442分別允許用戶端234與網域控制器210之間以及用戶端234與名稱伺服器212之間的通訊。另一方面,從用戶端234到HTTPS服務352的單向連結374遭防火牆442阻擋,說明無能力連接至HTTPS服務352。如上面第3圖內連接之討論,防火牆442可阻擋從遠端裝置到HTTPS服務352的所有通訊。不過在其中對HTTPS服務352所發出特定類型要求的回應用來決定網路位置之具體實施例內,防火牆442可組態成只阻擋內含這種要求的封包。
第5圖說明本發明的替代具體實施例,類似於第4圖內說明的具體實施例。在第5圖的具體實施例內,DMZ 240合併作為防火牆542的網路裝置。類似於防火牆442,防火牆542分析從安全網路200之外的裝置到DMZ 240內或安全網路200內計算裝置之網路通訊,並允許或不允許某些這種通訊。不過,防火牆542可組態成和防火牆442不同的安全設定。尤其是,防火牆542允許從安全網路之外的裝置,像是用戶端234,通訊至HTTPS服務352,但是不允許或者阻擋從HTTPS服務352往外至用戶端234的通訊。如同防火牆442,防火牆542允許安全網路200之外裝置,像是用戶端234,與安全網路之內其他網路計算資源,像是網域控制器210和名稱伺服器212,之間的雙向通訊。利用雙向連結260和262可瞭解,防火牆542分別允許用戶端234與網域控制器210之間以及用戶端234與名稱伺服器212之間的通訊。單向連結374從用戶端234通過防火牆542到達HTTPS服務352。然而,從HTTPS服務352到用戶端234的單向連結576,係如所繪示般遭到防火牆542的阻擋。如同第4圖內連線的討論,在其中對HTTPS服務352所發出特定類型要求的回應用來決定網路位置之具體實施例內,防火牆542可組態成只阻擋內含這種回應的封包。用戶端234所接收缺乏來自HTTPS伺服器352的回覆可由用戶端234用來決定未實體連接至安全網路200。
第6圖說明類似於第2圖的環境之網路計算環境,其根據某些替代具體實施例組態成支援網路位置確定。HTTPS服務進一步合併過濾器(filter),像是網路位址過濾器652。類似於第3圖內所討論並結合公眾介面356之過濾組件,網路位址過濾器可組態成根據這種要求的封包標題內含來源網路位址之資訊,阻擋對於HTTPS服務352的要求。例如:網路位址過濾器652可試驗對HTTPS服務352的要求內含之部分來源網路位址,決定來源網路位址是否在安全網路200的網路位址範圍內。若來源網路位址為例如IPv6網路位址,則網路位址過濾器檢查該來源位址是否在安全網路前綴碼範圍內。
雖然網路位址被用來當作為條件範例來決定回覆性質,也可使用其他條件來決定回應性質。例如:回覆根據是透過公眾或專用介面接收要求而不同。再者,雖然使用發出回覆和不發出回覆作為不同回應的範例,這也只是不同回應的範例。針對其他範例,利用在各種情況下發出回覆來產生不同回應,但是根據網路位置使用不同的回覆格式。針對一個範例,回覆可指示用戶端的網路位址或網路位置。另外在上述具體實施例內,相同裝置對來自直接或間接連線至網路的用戶端之要求產生回覆。這種架構並不需要,例如:來自直接連接用戶端的要求可路由至一個裝置,其發出一種回覆,而來自非直接連接的用戶端的要求可路由至另一裝置,其發出不同類型的回覆。
在第6圖說明的具體實施例內,用戶端214實體連接至安全網路200;因此若安全網路200使用IPv6定址,則用戶端214的網路位址在安全網路前綴碼範圍內。因為用戶端234實體未連接至網路200,所以用戶端234的網路位址不在安全網路前綴碼範圍內。然後網路位址過濾器652根據對要求的檢查,阻擋用戶端234對HTTPS服務352的要求,但是允許用戶端214對HTTPS服務352的要求。
如先前所說明,利用單向或雙向網路連結說明網路計算裝置能否與彼此通訊。通過直接存取伺服器250的雙向連結顯示與安全網路200內網路計算資源通訊之能力,像是用戶端234與網域控制器210之間的連結260以及用戶端234與名稱伺服器212之間的連結262。類似地,通過網路位址過濾器652和直接存取伺服器250的雙向連結364說明使用者用戶端214與HTTPS服務352之間的連接性。另一方面,使用者用戶端234與HTTPS服務352之間的單向連結374不通過網路位址過濾器652,說明網路位址過濾器652所採取阻擋從用戶端234對HTTPS服務352發出要求之動作。
在此具體實施例內,如同先前具體實施例內所討論,缺乏來自HTTPS服務352的回覆可允許要求者,像是用戶端234,做出未直接連接至安全網路200的決定,並且據此將其安全設定設為更嚴格狀態。
第7圖說明網路用戶端700,像是先前用戶端214或234的具體實施例,以及組態成執行網路位置確定的網路裝置,像是運行HTTPS服務702的裝置,像是先前討論具體實施例內的HTTPS服務352,之操作方法流程圖。
一開始,用戶端700不知道自己的網路位置,並且在方塊701上套用適合未直接連接至安全網路的用戶端之預設設定。例如,在安全政策之下,用戶端套用適合所運作最小安全位置的設定。
在步驟704內,用戶端700可讓本身通過網域控制器的驗證,像是網域控制器210。若用戶端實體連接至安全網路,像是安全網路200,則這可由通過直接存取伺服器連接,像是直接存取伺服器250,或直接連接來達成。
在步驟706內,用戶端700擷取已經提供給用戶端的HTTPS服務702之名稱,例如:用戶端700在實體上連接至安全網路時,像是安全網路200,已經在之前取得了HTTPS服務702的名稱。此時,供應的名稱已經本機儲存在用戶端的電腦儲存媒體上,供稍後取用,如步驟706內所示。
在步驟712內,用戶端700發出HTTPS要求至HTTPS服務702。在步驟714內,用戶端700經過預定時間間隔等待來自HTTPS服務700的回覆。
若藉由上述機制之一並未阻擋用戶端700的要求到達HTTPS服務702,在步驟716內HTTPS服務702接收用戶端要求。在步驟718內,像是網路位址過濾器652的過濾器檢查部分用戶端網路位址,以決定用戶端的網路位址是否在安全網路,像是安全網路200,的範圍內。若網路位址不在安全網路範圍內,第7圖的處理從步驟718分出到結尾方塊730,並且用戶端不會接收來自HTTPS服務702的回覆。另一方面,若用戶端700的網路位址在安全網路範圍內,在步驟720內HTTPS服務702會回應用戶端700,其可為安全回應,內含SSL認證。在兩情況下,在這點上,HTTPS服務702已經完成用戶端700要求的處理,並前往結尾方塊730。
不過吾人應該瞭解,在某些具體實施例內,可能想要HTTPS服務702回應,不管發出要求的用戶端之網路位置,而用不同類型回應或根據用戶端位置來回應。在這種具體實施例內,若已產生回應與用戶端位置無關,則步驟714上的等待時間會縮短。
根據用戶端是否在預定時間間隔內已經接收來自HTTPS服務702的任何回應,第7圖的處理從步驟722分支出來。若用戶端700未接收回覆,有可能是其要求或回覆遭到第3圖至第6圖內所說明具體實施例中之一者之阻擋,用戶端700前往步驟728,其中確定其並未實體連接至安全網路,像是安全網路200,並且讓其設定據此保留為預設狀態。例如:安全政策維持設定在更嚴格的狀態。
若用戶端700確實接收來自HTTPS服務702的回應,則在步驟724內確認HTTPS服務702的識別或安全身份碼,像是SSL憑證。若用戶端700無法成功確認接收自HTTPS服務702的SSL憑證,則用戶端700前往步驟728,並如上述做出其未實體連接至安全網路,像是安全網路200,的確定,並據此將其安全政策設定為更嚴格狀態。
若用戶端700成功確認接收自HTTPS服務702的SSL憑證,則前往步驟726。此時,用戶端可決定其實體連接至安全網路,像是安全網路200,並據此將其安全政策設定成較不嚴格狀態。
經過至少一個本發明具體實施例的許多態樣之探討後,吾人應該瞭解,精通此技術的人士可輕易瞭解許多改變、修正和改善。
這些改變、修正與改善都屬於本發明一部分,並且隸屬於本發明的精神與範疇。因此,上面的說明與圖式都僅只為範例。
上面說明的本發明具體實施例可有許多實施方式,例如:可使用硬體、軟體或其組合來實施。在軟體內實施時,軟體程式碼可在單一電腦或分散在許多電腦之間的任何合適處理器或處理器集合上執行。
進一步,吾人應該瞭解,電腦可具體實施在任何形式中,像是支架型電腦、桌上型電腦、膝上型電腦或平板電腦。此外,電腦可嵌入一般非電腦型態但是具有合適處理能力的裝置內,包含個人數位助理(Personal Digital Assistant,PDA)、智慧型電話或任何其他合適的可攜式或固定式電子裝置。
另外,電腦可具有一或多個輸入與輸出裝置,除此以外,這些裝置可用來呈現使用者介面。可用來提供使用者介面的輸出裝置範例包含:以視覺方式表現輸出的印表機或顯示螢幕,以聽覺方式表現輸出的喇叭或其他聲音產生裝置。可用於使用者介面的輸入裝置範例包含:鍵盤與指標裝置,像是滑鼠、觸摸板以及數位板。就其他範例來說,電腦可透過語音辨識或其他聲音格式接收輸入資訊。
這種電腦可用任何合適形式的一或多個網路互連在一起,該形式包含區域網路或廣域網路,像是企業網路或網際網路。這種網路可根據任何合適的技術,並可根據任何合適的通訊協定來操作,並且包含無線網路、有線網路或光纖網路。
另外,此處所述的許多方法或處理都可編碼成軟體,可在運用許多作業系統或平台任一的一或多個處理器上執行。此外,這種軟體可使用任何數量的合適程式語言及/或程式設計或描述工具來撰寫,並且也可編譯為可執行的機械語言碼或可在框架或虛擬機器上執行的中間程式碼。
在此方面,本發明也可具體實施為使用一或多種程式編碼的電腦可讀取媒體(或多重電腦可讀取媒體)(例如電腦記憶體、一或多種軟碟、光碟、光碟片、磁帶、快閃記憶體、場可程式閘陣列或其他半導體裝置內的電路組態或其他實質的電腦儲存媒體),當在一或多部電腦或其他處理器上執行時,執行實施如上所討論本發明許多具體實施例的方法。電腦可讀取媒體具備傳送功能,如此上面儲存的程式可載入一或多部不同電腦或其他處理器,以實施如上討論之本發明的許多態樣。
此處所用的術語「程式」或「軟體」一般就是指可用來程式設計電腦或其他處理器以實施如上討論之本發明許多態樣的任何一種電腦程式碼或電腦可執行指令集。另外,吾人應該瞭解根據此具體實施例的一個態樣,執行時會執行本發明方法的一或多個電腦程式並不需要在單一電腦或處理器上,可用模組方式分散在許多不同電腦或處理器之間,來實施本發明許多態樣。
電腦可執行指令可為一或多部電腦或其他裝置可執行的許多形式,像是程式模組。一般而言,程式模組包含例式、程式、物件、組件、資料結構等,其執行特定工作或實施特定抽象資料類型。一般而言,程式模組的功能性可在許多具體實施例內組合或分散。
另外,資料結構可以任何合適形式儲存在電腦可讀取媒體內。為了簡化說明,資料結構顯示成與資料結構內所在位置相關的欄位。這種關係也可利用指派儲存空間給具有電腦可讀取媒體內位置的欄位(傳達欄位之間關係)來達成,不過任何合適的機制都可用來建立資料結構欄位內資訊之間的關係,包含透過使用指標器、標籤或建立資料元件之間關係的其他機制。
本發明的許多態樣可單獨使用、組合使用或以上面說明具體實施例內未特別討論的許多配置來使用,因此不受限於上述所揭示或圖式內所說明組件的細節與配置之應用。例如:具體實施例內說明的態樣可用任何方式與其他具體實施例內說明的態樣組合。
另外,本發明可具體實施為一種方法,其中提供一種範例。屬於方法一部分所執行的步驟可用任何合適方式排列,因此具體實施例可建構成其中用與所說明不同的順序來執行步驟,這可包含同時執行某些步驟,即使所說明具體實施例內顯示成依序步驟也一樣。
申請專利範圍內使用像是「第一」、「第二」、「第三」等順序詞來修改專利元件時並非暗示專利元件之間的任何優先順序、優先權或順序或執行方法步驟的時間順序,而只是用來標示具備特定名稱的專利元件與具有相同名稱的其他專利元件(但依序使用)來分辨專利元件。
另外,此處所使用的措辭和用語係用來說明而非限制。此處所使用的「包含」、「包括」或「具有」、「內含」、「牽涉到」以及其變體都用於涵蓋之後所列項目及其同等項以及附屬項。
100...計算系統環境
110...電腦
120...處理單元
121...系統匯流排
130...系統記憶體
131...唯讀記憶體
132...隨機存取記憶體
133...基本輸入/輸出系統
134...作業系統
135...應用程式
136...其他程式模組
137...程式資料
140...硬碟機
141...硬碟機
144...作業系統
145...應用程式
146...其他程式模組
147...程式資料
150...介面
151...磁碟機
152...可移除、非揮發性磁碟
155...光碟機
156...可移除、非揮發性光碟
160...使用者輸入介面
161...指標裝置
162...鍵盤
170...配接器
171...區域網路
172...數據機
173...廣域網路
180...遠端電腦
181...記憶體儲存裝置
185...遠端應用程式
190...視訊介面
191...監視器
195...輸出周邊介面
196...印表機
197...喇叭
200...安全網路
210...網域控制器
212...名稱伺服器
214...使用者用戶端電腦
220...連結
222...連結
230...網際網路
234...使用者用戶端電腦
240...非軍事區
250...直接存取伺服器
260...連結
262...連結
344...VPN用戶端
352...HTTPS服務
352...HTTPS伺服器
354...專用介面
356...公眾介面
358...VPN閘道伺服器
360...安全隧道
364...雙向連結
367...雙向連結
376...雙向連結
374...單向連結
442...防火牆
542...防火牆
576...單向連結
652...網路位址過濾器
附圖並未依照比例繪製。在圖式當中,許多圖內所說明一致或近乎一致的組件都用相同編號表示。為了清晰起見,圖內並非所有組件都會標示編號。圖式中:
第1圖為傳統計算裝置的說明,說明其中可執行網路位置確定的環境;
第2圖為其中提供直接存取至專用網路的傳統網路環境圖;
第3圖為組態成提供對網路位置確定有幫助的回應之專用網路圖;
第4圖為組態成提供對網路位置確定有幫助的資訊之專用網路的替代具體實施例圖;
第5圖為組態成提供對網路位置確定有幫助的資訊之專用網路的替代具體實施例圖;
第6圖為組態成提供對網路位置確定有幫助的資訊之專用網路的替代具體實施例圖;以及
第7圖為組態成執行網路位置確定的網路用戶端與網路裝置之操作方法流程圖。
100...計算系統環境
110...電腦
120...處理單元
121...系統匯流排
130...系統記憶體
131...唯讀記憶體
132...隨機存取記憶體
133...基本輸入/輸出系統
134...作業系統
135...應用程式
136...其他程式模組
137...程式資料
140...硬碟機
141...硬碟機
144...作業系統
145...應用程式
146...其他程式模組
147...程式資料
150...介面
151...磁碟機
152...可移除、非揮發性磁碟
155...光碟機
156...可移除、非揮發性光碟
160...使用者輸入介面
161...指標裝置
162...鍵盤
170...配接器
171...區域網路
172...數據機
173...廣域網路
180...遠端電腦
181...記憶體儲存裝置
185...遠端應用程式
190...視訊介面
191...監視器
195...輸出周邊介面
196...印表機
197...喇叭
Claims (20)
- 一種用於控制一客戶端裝置連接於一網路時的操作之方法,該客戶端裝置支援至少一第一行為與一第二行為,該方法包含以下步驟:當該客戶端裝置被連接於該網路時,接收來自該客戶端裝置的一要求;基於該要求,決定該客戶端裝置是否位於該網路的一網路防火牆內;回應於決定出該客戶端裝置位於該網路防火牆內,提供對該要求的一第一回應,該第一回應組態該客戶端裝置以根據該第一行為來操作;以及回應於決定出該客戶端裝置不位於該網路防火牆內,提供對該要求的一第二回應,該第二回應組態該客戶端裝置以根據該第二行為來操作。
- 如申請專利範圍第1項所述之方法,該第一回應及該第二回應中之至少一者包含提供該回應的一網路裝置的一證明。
- 如申請專利範圍第2項所述之方法,該證明使該客戶端裝置能夠驗證該網路裝置的一識別。
- 如申請專利範圍第1項所述之方法,該要求包含關聯於該客戶端裝置的一網路位址。
- 如申請專利範圍第4項所述之方法,該決定該客 戶端裝置是否位於一網路防火牆內之步驟包含:基於該網路位址,決定該客戶端裝置是否位於該網路防火牆內。
- 如申請專利範圍第1項所述之方法,當該客戶端裝置是經由一虛擬專用網路(VPN)連接而連接於該網路時,該客戶端裝置是位於該網路防火牆內。
- 如申請專利範圍第1項所述之方法,該方法包含以下步驟:基於該客戶端裝置與關聯於該網路的一網域控制器進行驗證,將該客戶端裝置連接於該網路。
- 如申請專利範圍第1項所述之方法,該決定該客戶端裝置是否位於一網路防火牆內之步驟包含:基於該客戶端裝置是否經由一虛擬專用網路(VPN)連接而連接於該網路,決定該客戶端裝置是否位於該網路防火牆內。
- 如申請專利範圍第8項所述之方法,該方法包含以下步驟:回應於決定出該客戶端裝置位於該網路防火牆內且是經由該VPN連接而連接於該網路,提供對該要求的一第三回應,該第三回應組態該客戶端裝置以根據由該客戶端裝置所支援的一第三行為來操作。
- 如申請專利範圍第1項所述之方法,該決定該客 戶端裝置是否位於一網路防火牆內之步驟包含:基於該網路的一到達介面,決定該客戶端裝置是否位於該網路防火牆內,該要求通過該到達介面而到達。
- 如申請專利範圍第1項所述之方法,該方法包含以下步驟:回應於決定出該客戶端裝置位於該網路防火牆內,而為該客戶端裝置提供對一第一網路服務的存取;以及回應於決定出該客戶端裝置不位於該網路防火牆內,而不為該客戶端裝置提供對該第一網路服務的存取。
- 如申請專利範圍第11項所述之方法,該第一網路服務包含一HTTPS服務。
- 如申請專利範圍第11項所述之方法,該提供一第一響應之步驟包含:經由該第一網路服務而提供對該要求的一回覆。
- 如申請專利範圍第11項所述之方法,該提供一第二回應之步驟包含:不對該要求提供回覆。
- 一種用於控制一客戶端裝置連接於一網路時的操作之系統,該客戶端裝置支援至少一第一行為與一第二行為,該系統包含: 一或更多個處理單元;以及包含指令的記憶體,當由該一或更多個處理單元中之至少一者執行該等指令時,實施包含以下步驟之操作:當該客戶端裝置被連接到該網路時,接收來自該客戶端裝置的一要求;基於該要求,決定該客戶端裝置是否位於該網路的一網路防火牆內;回應於決定出該客戶端裝置位於該網路防火牆內,提供對該要求的一第一回應,該第一回應組態該客戶端裝置以根據該第一行為來操作;以及回應於決定出該客戶端裝置不位於該網路防火牆內,提供對該要求的一第二回應,該第二回應組態該客戶端裝置以根據該第二行為來操作。
- 如申請專利範圍第15項所述之系統,該決定該客戶端裝置是否位於一網路防火牆內之步驟包含:基於與該客戶端裝置有關的一網路位址,決定該客戶端裝置是否位於該網路防火牆內。
- 如申請專利範圍第15項所述之系統,該決定該客戶端裝置是否位於一網路防火牆內之步驟包含:基於該客戶端裝置是否經由一虛擬專用網路(VPN)連接而連接於該網路,決定該客戶端裝置是否位於該 網路防火牆內。
- 如申請專利範圍第17項所述之系統,該等操作包含以下步驟:回應於決定出該客戶端裝置位於該網路防火牆內且經由該VPN連接而連接於該網路,提供對該要求的一第三回應,該第三回應組態該客戶端裝置以根據由該客戶端裝置所支援的一第三行為來操作。
- 如申請專利範圍第15項所述之系統,該等操作包含以下步驟:回應於決定出該客戶端裝置位於該網路防火牆內,而為該客戶端裝置提供對一第一網路服務的存取;以及回應於決定出該客戶端裝置不位於該網路防火牆內,而不為該客戶端裝置提供對該第一網路服務的存取。
- 一種包含指令的電腦可讀取媒體,當執行該等指令時,實施經組態以控制一客戶端裝置連接於一網路時的操作之操作,該客戶端裝置支援至少一第一行為與一第二行為,該等操作包含:當該客戶端裝置被連接到該網路時,接收來自該客戶端裝置的一要求;基於該要求,來決定該客戶端裝置是否位於該網 路的一網路防火牆內;回應於決定出該客戶端裝置位於該網路防火牆內,提供對該要求的一第一回應,該第一回應組態該客戶端裝置以根據該第一行為來操作;以及回應於決定出該客戶端裝置不位於該網路防火牆內,提供對該要求的一第二回應,該第二回應組態該客戶端裝置以根據該第二行為來操作。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10847208P | 2008-10-24 | 2008-10-24 | |
| US12/357,812 US20100107240A1 (en) | 2008-10-24 | 2009-01-22 | Network location determination for direct access networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201106196A TW201106196A (en) | 2011-02-16 |
| TWI497337B true TWI497337B (zh) | 2015-08-21 |
Family
ID=42118814
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW098135996A TWI497337B (zh) | 2008-10-24 | 2009-10-23 | 用於直接存取網路之網路位置確定的方法、系統及電腦可讀取媒體 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20100107240A1 (zh) |
| EP (1) | EP2342672A4 (zh) |
| JP (1) | JP5535229B2 (zh) |
| CN (2) | CN106850642A (zh) |
| AR (1) | AR076351A1 (zh) |
| TW (1) | TWI497337B (zh) |
| WO (1) | WO2010048031A2 (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5305999B2 (ja) * | 2009-03-16 | 2013-10-02 | キヤノン株式会社 | 情報処理装置、その制御方法、及びプログラム |
| US8949411B2 (en) * | 2010-12-16 | 2015-02-03 | Microsoft Corporation | Determining whether a device is inside a network |
| US9313085B2 (en) | 2010-12-16 | 2016-04-12 | Microsoft Technology Licensing, Llc | DNS-based determining whether a device is inside a network |
| CN104205763A (zh) * | 2012-01-26 | 2014-12-10 | 惠普发展公司,有限责任合伙企业 | 基于网络状态控制访问 |
| US9843603B2 (en) * | 2012-10-16 | 2017-12-12 | Dell Products, L.P. | Techniques for dynamic access control of input/output devices |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| EP3002922A1 (en) * | 2014-09-30 | 2016-04-06 | Alcatel Lucent | Method and system for operating a user equipment device in a private network |
| US10805337B2 (en) * | 2014-12-19 | 2020-10-13 | The Boeing Company | Policy-based network security |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| US11075999B2 (en) * | 2018-08-28 | 2021-07-27 | Citrix Systems, Inc. | Accessing resources in a remote access or cloud-based network environment |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030187631A1 (en) * | 2002-03-29 | 2003-10-02 | Fujitsu Limited | Host-terminal emulation program, a relay program, a host-terminal emulation method, a communication program, a communication method, and a client computer |
| US20040039827A1 (en) * | 2001-11-02 | 2004-02-26 | Neoteris, Inc. | Method and system for providing secure access to private networks with client redirection |
| TW200711380A (en) * | 2005-06-29 | 2007-03-16 | Intel Corp | Methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control |
| TW200729819A (en) * | 2005-11-22 | 2007-08-01 | Univ Columbia | Methods, media, and devices for moving a connection from one point of access to another point of access |
| US20070271598A1 (en) * | 2006-05-16 | 2007-11-22 | A10 Networks, Inc. | Systems and methods for user access authentication based on network access point |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6308273B1 (en) | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
| US6081900A (en) * | 1999-03-16 | 2000-06-27 | Novell, Inc. | Secure intranet access |
| US6931529B2 (en) * | 2001-01-05 | 2005-08-16 | International Business Machines Corporation | Establishing consistent, end-to-end protection for a user datagram |
| US7127742B2 (en) * | 2001-01-24 | 2006-10-24 | Microsoft Corporation | Establishing a secure connection with a private corporate network over a public network |
| US7325248B2 (en) * | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
| US20030200299A1 (en) * | 2002-04-23 | 2003-10-23 | International Business Machines Corporation | Method and system for providing pervasive computing services through a middle tier service provider utilizing public wired and/or wireless communication networks |
| US7249262B2 (en) * | 2002-05-06 | 2007-07-24 | Browserkey, Inc. | Method for restricting access to a web site by remote users |
| US7448067B2 (en) * | 2002-09-30 | 2008-11-04 | Intel Corporation | Method and apparatus for enforcing network security policies |
| US7249187B2 (en) * | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
| US20080109679A1 (en) * | 2003-02-28 | 2008-05-08 | Michael Wright | Administration of protection of data accessible by a mobile device |
| US20050081045A1 (en) * | 2003-08-15 | 2005-04-14 | Fiberlink Communications Corporation | System, method, apparatus and computer program product for facilitating digital communications |
| CN100456729C (zh) * | 2003-08-29 | 2009-01-28 | 诺基亚公司 | 个人远程防火墙 |
| KR20050064119A (ko) * | 2003-12-23 | 2005-06-29 | 한국전자통신연구원 | 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법 |
| US20050166070A1 (en) * | 2003-12-24 | 2005-07-28 | Ling Dynamic Systems Ltd. | Web based user interface |
| US8838699B2 (en) * | 2004-02-27 | 2014-09-16 | International Business Machines Corporation | Policy based provisioning of Web conferences |
| US7640288B2 (en) * | 2004-03-15 | 2009-12-29 | Microsoft Corporation | Schema for location awareness |
| US7499998B2 (en) * | 2004-12-01 | 2009-03-03 | Cisco Technology, Inc. | Arrangement in a server for providing dynamic domain name system services for each received request |
| US20060203815A1 (en) * | 2005-03-10 | 2006-09-14 | Alain Couillard | Compliance verification and OSI layer 2 connection of device using said compliance verification |
| US20070143827A1 (en) * | 2005-12-21 | 2007-06-21 | Fiberlink | Methods and systems for intelligently controlling access to computing resources |
| US8160062B2 (en) * | 2006-01-31 | 2012-04-17 | Microsoft Corporation | Network connectivity determination based on passive analysis of connection-oriented path information |
| US7711800B2 (en) * | 2006-01-31 | 2010-05-04 | Microsoft Corporation | Network connectivity determination |
| US8024806B2 (en) * | 2006-10-17 | 2011-09-20 | Intel Corporation | Method, apparatus and system for enabling a secure location-aware platform |
| US9137663B2 (en) * | 2006-11-02 | 2015-09-15 | Cisco Technology, Inc. | Radio frequency firewall coordination |
| US20080163332A1 (en) * | 2006-12-28 | 2008-07-03 | Richard Hanson | Selective secure database communications |
-
2009
- 2009-01-22 US US12/357,812 patent/US20100107240A1/en not_active Abandoned
- 2009-10-15 CN CN201710083731.0A patent/CN106850642A/zh not_active Withdrawn
- 2009-10-15 JP JP2011533241A patent/JP5535229B2/ja not_active Expired - Fee Related
- 2009-10-15 WO PCT/US2009/060876 patent/WO2010048031A2/en active Application Filing
- 2009-10-15 EP EP09822462.9A patent/EP2342672A4/en not_active Withdrawn
- 2009-10-15 CN CN2009801426418A patent/CN102197400A/zh active Pending
- 2009-10-23 TW TW098135996A patent/TWI497337B/zh not_active IP Right Cessation
- 2009-10-23 AR ARP090104093A patent/AR076351A1/es not_active Application Discontinuation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040039827A1 (en) * | 2001-11-02 | 2004-02-26 | Neoteris, Inc. | Method and system for providing secure access to private networks with client redirection |
| US20030187631A1 (en) * | 2002-03-29 | 2003-10-02 | Fujitsu Limited | Host-terminal emulation program, a relay program, a host-terminal emulation method, a communication program, a communication method, and a client computer |
| TW200711380A (en) * | 2005-06-29 | 2007-03-16 | Intel Corp | Methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control |
| TW200729819A (en) * | 2005-11-22 | 2007-08-01 | Univ Columbia | Methods, media, and devices for moving a connection from one point of access to another point of access |
| US20070271598A1 (en) * | 2006-05-16 | 2007-11-22 | A10 Networks, Inc. | Systems and methods for user access authentication based on network access point |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102197400A (zh) | 2011-09-21 |
| EP2342672A2 (en) | 2011-07-13 |
| JP2012507193A (ja) | 2012-03-22 |
| AR076351A1 (es) | 2011-06-08 |
| CN106850642A (zh) | 2017-06-13 |
| EP2342672A4 (en) | 2013-04-10 |
| US20100107240A1 (en) | 2010-04-29 |
| WO2010048031A3 (en) | 2010-07-15 |
| JP5535229B2 (ja) | 2014-07-02 |
| WO2010048031A2 (en) | 2010-04-29 |
| TW201106196A (en) | 2011-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI497337B (zh) | 用於直接存取網路之網路位置確定的方法、系統及電腦可讀取媒體 | |
| US11843589B2 (en) | Network connection automation | |
| US11575663B2 (en) | System and method for secure application communication between networked processors | |
| JP4456929B2 (ja) | リモート・クライアントをローカル・クライアント・デスクトップに接続するためのアーキテクチャ | |
| US8510811B2 (en) | Network transaction verification and authentication | |
| US11444932B2 (en) | Device verification of an installation of an email client | |
| US11442755B1 (en) | Secure access to a corporate application using a facade | |
| US11838270B1 (en) | Session control management for virtual private networks using artificial data packets | |
| JP2009508213A (ja) | 一貫したアプリケーション対応ファイヤウォールトラバーサルの提供 | |
| KR101319570B1 (ko) | 중계장치에 의한 pc와 서버간의 접속 인증 방법, 이를 적용한 중계장치 및 컴퓨터로 읽을 수 있는 기록매체 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |