TWI545446B

TWI545446B - 與一公用雲端網路一同使用之方法及系統

Info

Publication number: TWI545446B
Application number: TW100141398A
Authority: TW
Inventors: 陳維斌; 顏錦堂; 趙士銘
Original assignee: 金士頓數位股份有限公司
Priority date: 2011-09-09
Filing date: 2011-11-14
Publication date: 2016-08-11
Also published as: CN103001999B; US20130067550A1; US9203807B2; TW201312370A; CN103001999A

Description

與一公用雲端網路一同使用之方法及系統

本發明與網路相關；更具體而言，本發明是關於一種私有雲端網路上之運用。

在網際網路連結的環境中，智慧型裝置用戶端，包含智慧型手機、平板電腦、電子書閱讀器、筆記型電腦、個人電腦以及各式各樣的智慧型器具，是非常普遍且無所不在的。除了網際網路連結外，智慧型裝置用戶端之其中一個價值是可以隨時隨地從一種或多種的伺服器取得服務。這些服務包含語音、視訊內容、直播或已存檔的資訊、社群媒體、資訊、電子郵件、儲存媒體、日曆以及觸控面板等。

具有不同型態的伺服器，可用以滿足各式各樣智慧型裝置用戶端的需要。一般而言，這些型態的伺服器可分為兩族群：一公用雲端及一私有雲端。公用雲端伺服器，正如其名「公用」，提供免費但有限功能或付費而較精緻的服務，以及與公眾互動。公用雲端伺服器的例子包括資料中心、社群媒體服務以及網路上的儲存內容供應者。另一方面，私有雲端伺服器傾向於滿足私有需求。相較於公用雲端，私有雲端裏的伺服器提供較隱私與個人化的服務。

私有雲端伺服器應用的一個例子為一私有雲端儲存伺服器(Private Cloud Storage Server,PCSS)。所述私有雲端儲存伺服器位於一使用者管理的區域網路(Local Area Network,LAN)。它為使用者提供線上及備份儲存無論在區域網路或廣域網路(Wide Area Network,WAN)。使用者可以使用智慧型裝置用戶端於任何時刻任何地點從私有雲端儲存伺服器存取訊號。所述私有雲端伺服器與相關的智慧型裝置用戶端因此組成一個私有雲端伺服器與用戶端的架構。

傳統上，存在許多儲存伺服器之解決方案，包括網路附加儲存裝置(Network Attached Storage)、Windows/Mac/Linux伺服器，以及直接附加儲存裝置(Direct Attached Storage,DAS)以滿足私有雲端儲存伺服器的需求。然而，所述領域的智慧型裝置用戶端所遭遇的挑戰為如何避免累贅的安裝以及穿透區域網路路由器後端的防火牆，以存取家中或辦公室環境中的私有雲端儲存伺服器。對於這項挑戰，有至少四種解決方案。

一種解決方案為安排一個固定的網路協定位址以及打開在私有雲端儲存伺服器前端路由器的連接埠，諸如智慧型裝置用戶端可以從區域網路外側探出私有雲端儲存伺服器並進行自我驗證、穿透防火牆及建立一個與私有雲端儲存伺服器間的一安全通訊通道。

第二種解決方案適用於未取得固定網際網路地址。使用者安裝私有雲端儲存伺服器區域網路的路由器以及打開對應至私有雲端儲存伺服器的連接埠。所述路由器因此可以經由廣域網路上的浮動式網域名稱系統(Dynamic Domain Name System,DDNS)服務被智慧型裝置用戶端探出。所述智慧型裝置用戶端可自我驗證、穿透防火牆及建立一個連結於私有雲端儲存伺服器的安全通訊通道。

第三種解決方案仰賴於廣域網路中的另一路由伺服器以導通智慧型裝置用戶端與私有雲端儲存伺服器間的虛擬私有網路通訊(Vitual Private Network,VPN)。所述虛擬私有網路通訊允許所述智慧型裝置用戶端探出私有雲端儲存伺服器的位置、自我驗證、穿透防火牆以及建立一個連結於私有雲端儲存伺服器的一安全通訊通道。

第四種解決方案仰賴於廣域網路中的另一路由伺服器以導通智慧型裝置用戶端與私有雲端伺服器間的遙控桌面協定(Remote Desktop Protocol,RDP)或虛擬網路計算(Virtual Network Computing,VNC)通訊。所述RDP或VNC通訊允許所述智慧型裝置用戶端探出私有雲端伺服器的位置、自我驗證、穿透防火牆以及建立一個與私有雲端伺服器連結的一安全通訊通道。其他的解決方案為上述解決方案的組合。

在第一個方案中，固定的網際網路位址是需要的，且所述路由器需要被安裝。固定的網際網路地址涉及較多的成本且通常無法適用於家庭以及小型商業環境。因此，所述路由器安裝非常複雜而對大多數消費者而言是不容易上手的。

在第二個方案中，一種DDNS服務是需要的，且所述路由器需要更複雜的安裝。所述DDNS涉及額外的成本與系統複雜度。因此，所述路由器安裝非常複雜而對大多數消費者而言是不容易上手的。

在第三及第四個方案中，當一個路由器的安裝不是必要時，一個外部的路由伺服器或服務需要被安裝。外部的路由伺服器或服務用以控制及管理智慧型裝置用戶端與伺服器間的登入或驗證。透過第三方伺服器或服務，私有雲端變成較不具隱私性及安全性。此外，如果因任何原因伺服器或服務減弱，將危及私有雲端伺服器的通訊或可用性。

上述方案所需要的技術專門知識可能適用於傳統整體環境，然而並不適用於以消費者導向的智慧型裝置用戶端為中心的佈置。

在大多數傳統系統中，一個外部或第三方的路由伺服器在存取私有雲端伺服器的過程中被智慧型裝置用戶端使用。使用外部伺服器為智慧型裝用戶端擁有者帶來許多疑慮。第一，信任感一直是一個問題，因為外側或第三方路由伺服器在智慧型智慧用戶端與私有雲端伺服器間的通訊處置中扮演中間人的角色。它會掌握所有智慧型裝置用戶端與私有雲端伺服器使用者的資訊、密碼以及他們的網際網路位址。因路由伺服器可以發覺中間的任何一種通訊使得它變得不安全。第二，身為一個外部或第三方路由伺服器，它的商業模型或許不會總是與智慧型裝置用戶端擁有者一致。如果路由伺服器因為任何商業原因而無法服務，沒有修補方法或替代的選擇方法以恢復服務。它潛在地對使用者造成巨大的商業風險，例如通訊中不可少的連結會不費資源得被破壞。

在消費者導向的環境中，需要的是在廣域網路中的智慧型裝置用戶端，可以從一個私有雲端儲存伺服器取得服務，或任何可解決以下挑戰的私有雲端伺服器：

1.　隨時隨地存取私有雲端伺服器；

2.　隨時存取在固定或浮動式網際網路位址的防火牆之後的私有雲端伺服器；

3.　不需要廣域網路中的外部或第三方路由伺服器；

4.　不需要於區域區域網路中設置額外的路由器；

5.　與私有雲端伺服器進行驗證；以及

6.　建立一個與私有雲端伺服器連結的安全通訊通道。

如果上述的挑戰可以被解決，由於連接與啟動的簡明性與可用性，私有雲端伺服器的佈置數量或服務將指數性地增加。此外，經由不利用第三方路由伺服器，可去除技術和商業上的考慮。於是，包含儲存以及遙控桌面服務的私有雲端伺服器在私有雲端架構中將可負擔且無所不在。據此，本發明滿足這個需求。

本發明提供一種與一公用雲端網路一同使用之方法與系統。該公用雲端網路包含至少一私有雲端伺服器及至少一與其通訊的智慧型裝置用戶端。該方法與系統包含設定該至少一私有雲端伺服器及該至少一智慧型裝置用戶端為一用戶端伺服器關係。該至少一私有雲端伺服器包含與其相關之一第一資訊盒。該第一資訊盒位於該公用雲端網路中。該至少一智慧型裝置用戶端包含與其相關之一第二資訊盒。該第二資訊盒位於該公用雲端網路中。該方法包含用一安全之方法經由該第一資訊盒與該第二資訊盒在該至少一私有雲端伺服器與該至少一智慧型裝置用戶端間傳遞一會談資訊。該會談資訊被該至少一私有雲端伺服器與該至少一智慧型裝置用戶端認證。該至少一智慧型裝置用戶端與該至少一私有雲端伺服器在該會談資訊被認證後相互通訊。

本發明與網路相關；更具體而言，本發明是關於私有雲端網路上的運用。以下的描述用以使本領域具有通常知識者知悉且使用本發明，並呈現本發明專利申請案所需之相關內容。本領域具有通常知識者可根據以下所述各實施例以及與本發明本質上相同的原理及特徵，輕易理解本發明之其他實施例。因此，本發明並非局限於下述各實施例的實施態樣，而是被授予與本發明本質上相同的原理及特徵一致之最大範圍。

在以下的敍述中，「用戶端」可等同「智慧型裝置用戶端」，「路由器」可等同「閘道」、「存取點」或「網際網路位址轉換(Network address translation,NAT)」。

本發明的系統與方法目的在於不需利用路由伺服器情況下提供一種私有雲端伺服器與客戶端架構。所述系統與方法滿足所有關於用戶端可以隨時隨地存取所述私有雲端伺服器的挑戰。所述系統可存取在固定式或浮動式網際網路協定防火牆後端之該私有雲端伺服器，以與該私有雲端伺服器進行驗證並與該私有雲端伺服器直接建立安全通訊通道，而不需要於WAN中增加額外的路由設定或第三方路由伺服器。

如第1A圖所示，一個雲端網路架構包含一公用雲端100，一公用雲端伺服器113，一中間路由伺服器112，一VPN路由伺服器114，在WAN中之一智慧型裝置用戶端101，一路由器102(Router_P 102)以及一路由器103(Router_S 103)。Router_S 103用以連結區域網路105(LAN 105)與公用雲端100的網路。Router_P 102用以連結區域網路104(LAN 104)與公用雲端100的網路。在LAN 104後端，存在智慧型裝置用戶端106、107以及一私有雲端伺服器108。在LAN 105後端，存在智慧型裝置用戶端109、110以及111。這些智慧型裝置用戶端可以是一個人電腦、筆記型電腦、平板電腦、電子書閱讀器、GPS、智慧型電視、機上盒、MP3播放器或任何可上網的嵌入式裝置。他們在雲端網路架構中被標示為101、106、107、109、110以及111。上述任何一種智慧型裝置用戶端在本文中皆可任意替換。以下將以具有代表性之智慧型裝置用戶端109進行說明。

物理上來說，智慧型裝置用戶端101、107或109連結至私有雲端伺服器108存有三種情況。第一，智慧型裝置用戶端107判斷是否目標置於LAN 104之可存取區域，並決定直接連接到私有雲端伺服器108。第二，智慧型裝置用戶端101判斷目標並非置於LAN 104之可存取區域，並決定經由WAN連結到公開雲端100。WAN可探出Router_P 102以及LAN 104之位置，然後連結到私有雲端伺服器108。第三，智慧型裝置用戶端109判斷目標並非置於LAN 105之可存取區域，並決定通過LAN 105、Router_S 103連結至WAN中之公開雲端100。智慧型裝置用戶端109之後探出Router_P 102、LAN 104之位置並連結至私有雲端伺服器108。上述第一情況與第二情況為上述第三情況之兩個衍生特例。因此，第三情況對本發明是有益的，其中上述第三方案在實際生活的應用中具有較大的範圍與複雜度。

第2圖闡述一經由設置Router_P 102在區域網路中以實體存取私有雲端伺服器108之傳統實現方法。共有兩個步驟涉及Router_P 102的設置。第一，如步驟200，使用者需將私有雲端伺服器108之私有網際網路位址對應到Router_P 102之一連接埠。第二，如步驟201，使用者需要利用在WAN中之中間路由伺服器112註冊Router_P 102之公用網際網路位址，其中，Router_P 102為該私有雲端伺服器108之路由器。如步驟202，智慧型裝置用戶端109在存取私有雲端伺服器108之前，查詢中間路由伺服器112以探出私有雲端伺服器108之網際網路地址。之後，如步驟203，開始存取Router_P 102之預設連接埠，其中該連接埠正確地對應到私有雲端伺服器108之私有網際網路地址。

Router_P 102之設置與中間路由伺服器112之安裝對大多數終端使用者而言相當困難。進一步來說，經由對應私有雲端伺服器108之私有網際網路位址至而直接且永遠存取外部世界之連接埠，將為雲端伺服器108招引一個大的安全風險。

若私有雲端伺服器108直接且永遠地暴露於外部世界，將會遭遇許多惡意攻擊的。再者，中間路由伺服器102是一個第三方伺服器，其對於智慧型裝置用戶端的擁有者帶來許多顧慮。第一，信任感一直是個問題，因為中間路由伺服器112在所有智慧型裝置用戶端109與私有雲端伺服器108之間進行通訊之過程中，一直扮演著中間協調的角色。因此，中間路由伺服器112可能會擁有所有使用者的登入資訊、密碼以及相應於該智慧型裝置用戶端109與該私有雲端伺服器108之網際網路地址。因此，中間路由伺服器112有能力發覺任何在這其中的通訊以及使它變的不安全。

第二，身為一個外部或第三方路由伺服器，它的商業模型或許不會總是與智慧型裝置用戶端擁有者一致。如果路由伺服器因為任何商業原因而無法服務，沒有修補方法或替代的選擇方法以恢復服務。它潛在地對使用者造成巨大的商業風險，例如通訊中不可少的連結可能被破壞且沒有任何補救措施。

第3圖闡述一經由向VPN路由伺服器114註冊以邏輯地存取該私有雲端伺服器108之傳統實現方法。如步驟300，在虛擬私有網路之設定過程中，私有雲端伺服器108首先向VPN路由伺服器114註冊其公用網際網路位址以及私有網際網路位址，並保持登入狀態。如步驟301，智慧型裝置用戶端109亦向VPN路由伺服器114註冊其公用網際網路地址與私有網際網路地址。如步驟302，VPN路由伺服器114分配一虛擬網際網路位址至私有雲端伺服器108與智慧型裝置用戶端109以及設置一虛擬私有網路302。同時，智慧型裝置用戶端109與私有雲端伺服器108在VPN路由伺服器114的控制下位於相同的虛擬網際網路位址範圍。智慧型裝置用戶端109與私有雲端伺服器108之間的所有通訊在該VPN協定下被壓縮。

如步驟303，智慧型裝置用戶端109之後登入VPN路由伺服器114以及查詢私有雲端伺服器108之虛擬網際網路地址。如步驟304，智慧型裝置用戶端109與私有雲端伺服器108之間之所有通訊將被VPN路由伺服器114截取及壓縮。如步驟305，智慧型裝置用戶端109開始存取私有雲端伺服器108。

不同於第2圖所述之先前技術，VPN路由伺服器114可經由去除路由器之設置而取得利益。因此，對消費者而言可具有較為容易的安裝。然而，若未考慮更多嚴肅商業問題於必須使所有通訊通過第三方路由伺服器，其仍然會遭遇相同的問題。身為第三方伺服器，VPN路由伺服器114為智慧型裝置用戶端109擁有者帶來很多擔憂。第一，信任感一直是個問題，因為VPN路由伺服器114在智慧型裝置用戶端109與私有雲端伺服器108之間進行通訊會談的過程中，一直扮演著中間協調的角色。因此，VPN路由伺服器114可能會取得所有使用者的登入資訊、密碼以及相應於智慧型裝置用戶端109與私有雲端伺服器108之網際網路地址。因此，VPN路由伺服器114有能力發覺任何在這其中的通訊以及使它變的不安全。第二，身為一個第三以及第三方路由伺服器，VPN路由伺服器114的商業模型可能不會永遠與該智慧型裝置用戶端109擁有者同步。如果由於任何原因，VPN路由伺服器114中斷服務，沒有補救方案或替代方法以恢復服務。除非該使用者擁有對VPN路由伺服器114的所有控制權，否則將對該使用者帶來巨大潛在的商業危機，就如通訊中的重要連結可能被破壞且沒有任何補救措施。

第4圖闡述一經由向一中間路由伺服器112註冊以邏輯地存取私有雲端伺服器108之傳統實現方法。如步驟400，私有雲端伺服器108首先向中間路由伺服器112註冊其公用網際網路地址與私有網際網路位址，以及取得一帳號與密碼集合。如步驟401，智慧型裝置用戶端109同樣向中間路由伺服器112註冊其公用網際網路地址與私有網際網路位址，以及取得一帳號與密碼集合。如步驟402，雲端伺服器108登入中間路由伺服器112。

在智慧型裝置伺服器109存取私有雲端伺服器108前，需進行一連串的步驟。第一，如步驟403，智慧型裝置用戶端109從安全通道的伺服器中取得私有雲端伺服器108的帳號與密碼，該安全通道可為電話、電郵、文字資訊或傳統郵件(snail mail)。如步驟404，智慧型裝置用戶端109運用本身之帳號以及自私有雲端伺服器108取得之帳號與密碼登入中間路由伺服器112。如步驟405，在智慧型裝置用戶端109與私有雲端伺服器108之間的所有通訊將被中間路由伺服器112攔截以及壓縮。最後，如步驟406，智慧型裝置用戶端109開始存取私有雲端伺服器108。

不同於第2圖所述之傳統方法，中間路由伺服器可經由去除路由器的設置而取得利益。因此，對使用者而言可具有較為容易的安裝。然而，若未考慮更多嚴肅商業問題於必須使所有通訊通過第三方路由伺服器，其仍然會遭遇相同的問題。

身為第三方伺服器，中間路由伺服器112為智慧型裝置用戶端109擁有者帶來很多擔憂。第一，信任感一直是個問題，因為中間路由伺服器112在該智慧型裝置用戶端109與該私有雲端伺服器108之間進行通訊會談的過程中，一直扮演著中間協調的角色。因此，中間路由伺服器112可能會取得所有使用者的登入資訊、密碼以及相應於智慧型裝置用戶端109與私有雲端伺服器108的網際網路地址。因此，中間路由伺服器112有能力發覺任何在這其中的通訊以及使它變得不安全。

第二，身為一個第三以及第三方路由伺服器，中間路由伺服器 112的商業模型可能不會永遠與該智慧型裝置用戶端109擁有者同步。如果由於任何原因，中間路由伺服器112中斷服務，則沒有補救方案或替代方法可以恢復服務。除非該使用者擁有對中間路由伺服器的所有控制權，否則將對該使用者帶來巨大潛在的商業危機，就如通訊中的重要連結可能被破壞且沒有任何補救措施。

第5圖闡述一經由與一中間路由伺服器112點對點通訊以邏輯地存取私有雲端伺服器108之傳統實現方法。如步驟500，私有雲端伺服器108首先向中間路由伺服器112註冊其公用網際網路位址與私有網際網路位址並取得一帳號與密碼集合。如步驟501，智慧型裝置用戶端109與向中間路由伺服器112註冊其公用網際網路位址與網際網路位址並取得一帳號與密碼集合。如步驟502，私有雲端伺服器108以及智慧型裝置用戶端109登入中間路由伺服器112。

在智慧型裝置伺服器109存取私有雲端伺服器108前，需進行一連串的步驟。第一，如步驟503，智慧型裝置用戶端109與私有雲端伺服器108從中間路由伺服器112取得他方的公用與私有網際網路地址。如步驟504，這兩方在初始對外通訊的過程中，持續開通其各自之路由器。如步驟505，在智慧型裝置用戶端109與該私有雲端伺服器108之間之所有通訊將被約束，並建立其中之點對點通訊通道。最後，如步驟506，智慧型裝置用戶端109開始存取私有雲端伺服器108。

不同於第2圖、第3圖與第4圖所述之傳統方法，所述中間路由伺服器方法具有建立該用戶端與該伺服器間之點對點聯結的優點，以及提供較佳的性能。然而，所述中間路由伺服器方法仍然面臨所有通訊皆經由一單一第三方路由伺服器所引起的「單點失敗」的問題。身為一第三方伺服器，中間路由伺服器112為智慧型裝置用戶端109擁有者帶來很多的擔憂。第一，信任感總是一個問題，因為中間路由伺服器112扮演著擁有所有使用者的登入資訊、密碼以及相應於智慧型裝置用戶端109與私有雲端伺服器108網際網路地址的中間者的角色。

第二，身為一個外側以及第三方路由伺服器，中間路由伺服器112的商業模型可能不會永遠與該智慧型裝置用戶端109擁有者同步。如果由於任何原因，中間路由伺服器112中斷服務，沒有補救方案或替代方法以恢復服務。它對該使用者帶來巨大潛在的商業危機，就如通訊中的重要連結可能被破壞且沒有任何補救措施。

關於本發明優於上述傳統方法其中之一為存取之過程中已去除第三方路由伺服器的角色。此外，本發明的另一優勢為在智慧型裝置用戶端109以及私有雲端伺服器108之間沒有機密資訊(例如登入密碼)被交換。

第1B圖為一雲端網路架構之一實施例之一方塊圖。此實施例中與圖1A相同之組件將標示相同之標號。在此實施例中具有兩個資訊盒，也就是用戶端資訊盒115(message_box_S 115)與伺服器資訊盒116(message_box_P 116)，其目的將詳細描述如下。如第1A圖所示，在LAN 104後端，具有智慧型裝置用戶端106、107與一私有雲端伺服器108。在LAN 105後端，具有智慧型裝置用戶端109、110以及111。這些智慧型裝置用戶端可視為一個人電腦、筆記型電腦、平板電腦、電子書閱讀器、GPS、智慧型電視、機上盒、MP3播放器或任何網路嵌入式裝置。這些智慧型裝置用戶端在該雲端網路架構中被標示為101、106、107、109、110，以及111。上述任一智慧型裝置用戶端在此實施例中是可替換的，並以最具代表性的智慧型裝置用戶端109作為說明。

為了更詳細地描述本發明的特徵，請參照涵蓋本發明之初始設定與存取之第6圖、第7圖以及第8圖。

第6圖闡述一關於本發明之私有雲端伺服器108與智慧型裝置用戶端109之初始設定。私有雲端伺服器108與智慧型裝置用戶端109形成一種伺服器與用戶端的關係。伺服器108首先創造一個已認證的用戶端名單，該用戶端名單包含該用戶端登入名稱與相應的資訊盒資訊。該資訊盒資訊可以是一電郵帳號、文字資訊或其他獨特公開的客戶帳號形式。如步驟601，私有雲端伺服器108端傳送一個會談邀請至智慧型裝置用戶端109之用戶端資訊盒115(message_box_S 115)，其中智慧型裝置用戶端109為一已認證使用者。該會談邀請可包含伺服器資訊盒116(message_box_P 116)。如步驟602，私有雲端伺服器108從message_box_P 116嘗試擷取一會談存取要求，該會談存取要求包含message_box_S 115、用戶端公開網際網路地址119(Pubic_IP_S 119)以及用戶端私有網際網路地址120(Private_IP_S 120)。

如果上述存取要求是無效的，則重回步驟601。如果上述存取要求是有效的，如步驟604，私有雲端伺服器108註冊message_box_S 115、Pubic_IP_S 119以及智慧型裝置用戶端109的Private_IP_S 120。如步驟605，私有雲端伺服器108傳送一會談確認資訊到用戶端資訊盒message_box_S 115，該會談確認資訊包含伺服器公開網際網路位址117(Public_IP_P 117)及伺服器私有網際網路地址118(Private_IP_P 118)。如步驟606，私有雲端伺服器108對智慧型裝置用戶端109開始通訊要求。

於智慧型裝置用戶端109，如步驟611，智慧型裝置用戶端109首先自其message_box_S 115取得一會談邀請，該會談邀請包含私有雲端伺服器108之message_box_P 116。如果從雲端伺服器108資訊盒傳來之邀請是無效的，則返回步驟611。如果從雲端伺服器108資訊盒傳來之邀請是有效的，如步驟613所示，智慧型裝置用戶端109回復私有雲端伺服器108之message_box_P 116，並夾帶一會談存取要求，並於任何時候需要存取私有雲端伺服器108時，註冊其現有的用戶端資訊盒位址、公用網際網路位址以及私有網際網路位址。該會談存取要求可能包含智慧型裝置用戶端109的資訊盒位址、message_box_S 115、以及Pubic_IP_S 119以及Private_IP_S 120。如步驟614，智慧型裝置用戶端109之後從message_box_S 115取得與私有雲端伺服器108現有的Public_IP_P 117及Private_IP_P 118相關的會談確認資訊。如步驟615，該智慧型裝置用戶端109對私有雲端伺服器108開始通訊要求。以上兩個獨立的處理過程即為私有雲端伺服器108以及智慧型裝置用戶端109之初始設置。

上述資訊盒，無論是伺服器資訊盒或用戶端資訊盒，都可以是一電郵伺服器、文字資訊伺服器或者任何一種可提供安全資訊於私有雲端伺服器108與該智慧型裝置用戶端109之間互相傳遞的伺服器。資訊盒的安全與商業模型在工業上是使用者容易理解與可預期的。若因為任何原因該資訊盒伺服器不能使用時，可馬上被取代以及重新配置，並不會危及在該私有雲端架構中該伺服器與用戶端間的通訊。

第7圖闡述一關於本發明之智慧型裝置用戶端109之通訊流程。智慧型裝置用戶端109與私有雲端伺服器108間之點對點通訊，可不需經由中間路由伺服器112或VPN路由伺服器114。如步驟700，智慧型裝置用戶端109首先傳送一通訊要求，該通訊要求經由Router_S 103至私有雲端伺服器108之路由器102(Router_P 102)。如步驟701，路由器103(Router_S 103)註冊智慧型裝置用戶端109與私有雲端伺服器109之公用網際網路地址與私有網際網路地址。如步驟702，Router_S 103對外之路由保持開放，並且等待私有雲端伺服器108回應。如步驟703，Router_S 103之後檢查回應是否來自私有雲端伺服器108。如果該回應是無用的而且已經暫停，如步驟708，智慧型裝置用戶端109之初始過程將重新來過一次。如果該回應還沒暫停，則重回步驟702。然而，如果該回應是有用的，如步驟704，Router_S 103將會運用智慧型裝置用戶端109之已註冊對外私有網際網路位址，連接私有雲端伺服器108當下之公用網際網路位址與私有網際網路地址。如步驟705所示，來自私有雲端伺服器108之要求將路由到智慧型裝置用戶端109。如步驟706，智慧型裝置用戶端109開始與私有雲端伺服器108安全地進行點對點通訊以及存取服務。

第8圖闡述一關於本發明之私有雲端伺服器108之通訊流程。私有雲端伺服器108與智慧型裝置用戶端109之點對點通訊，將不需經由中間路由伺服器112或一VPN路由伺服器114。如步驟800，私有雲端伺服器108首先經由Router_P 102傳送一通訊要求至智慧型裝置用戶端109的Router_S 103。如步驟801，Router_P 102為回應該向外之通訊要求，註冊該智慧型裝置用戶端109與私有雲端伺服器108之公用與私有網際網路地址。如步驟802，Router_P 102對外之路由器保持開放，並且等待來自智慧型裝置用戶端109回應。如步驟803，Router_P 102檢查該回應是否來自智慧型裝置用戶端109。如果該回應是無用的而且已經暫停，如步驟808，智慧型裝置用戶端108之初始過程將重新來過一次。如果該回應還沒暫停，則重回步驟802。然而，如果該回應是有用的，如步驟804，Router_P 102將會經由註冊私有雲端伺服器108對外之私有網際網路位址，將智慧型裝置用戶端之公用網際網路位址與私有網際網路位址拘束在一起。來自智慧型裝置用戶端109之要求將被路由到私有雲端伺服器108。如步驟806，私有雲端伺服器108開始與智慧型裝置用戶端109安全地點對點通訊以及存取服務。

為了確保點對點通訊通道的安全性，許多種安全性測試已被設置，包含高級加密標準(Advanced Encryption Standard,AES)加密以及/或SSL(Secure Socket Layer,安全插座層)、TLS(Transport Layer Security,傳輸層安全性)。在伺服器與用戶端間之會談通訊，包含邀請、存取要求以及確認，也運用亂數種子、時戳、加密以及雜湊法，以抵抗中間者以及回應第三方的攻擊，而確保通訊的安全性與整體性。

因為邀請資訊並非仰賴第三方路由伺服器，故已解決智慧型裝置用戶端擁有者之許多疑慮。第一，在該用戶端與伺服器間無單一失敗點。第二，在智慧型裝置用戶端109與私有雲端伺服器108間的任何通訊，於轉發過程中無任何中間協調者。因此，造就更好的性能。第三、任何在這之間的通訊無被發覺的可能，因此使整個過程對用戶端與伺服器來說是很安全的。智慧型裝置用戶端109與私有雲端伺服器108之使用者帳號資訊、密碼以及它們相應的網際網路位址從未暴露到第三方。於智慧型裝置用戶端109與私有雲端伺服器108之間，唯一於對外通訊通道進行資訊交換為私有資訊盒message_box_S 115與message_box_P 116。因此，密碼資訊從未在私有雲端伺服器108與智慧型裝置用戶端109之間互相交換。通訊的安全性與message_box_S 115以及message_box_P 116之伺服器一樣好。

如果因為任何原因導致資訊盒被損壞或無法服務，另一個替代或備份的資訊盒可以立即地被配置。在本發明中，任何關鍵元件，包含路由器、網路交換機、資訊盒、智慧型裝置用戶端109或甚至是私有雲端伺服器108，都可被替代的，且不會影響到智慧型裝置用戶端109以及私有雲端伺服器108之間通訊連結的效率與完整性。

第9圖闡述一關於本發明之私有雲端伺服器108之方塊圖。私有雲端伺服器108包含一處理器900、唯讀記憶體901(ROM 901)、隨機存取記憶體902(RAM 902)、網路介面903、輸入/輸出904(I/O 904)以及非揮發性大容量儲存裝置905。非揮發性儲存器905進一步包含一作業系統909、裝置驅動程式908以及雲端伺服器驅動程式907。如果私有雲端伺服器108可提供應用，則將包含一應用程式伺服器906，其中應用程式伺服器906可能包含遙控桌面協議、VNC、辦公室工具、媒體播放器以及其他使用者特定之應用。如果雲端伺服器108用以作為一儲存伺服器，則可能包含一非揮發性大容量儲存伺服器910，非揮發性大容量儲存伺服器910包含為私有雲端提供服務的數個百萬位元組(terabytes)儲存裝置。

網路介面903可以連結到LAN、WAN或3G/4G網路。I/O 904可令使用者連結至外部世界的介面，包含輸入/輸出裝置，如鍵盤、滑鼠、語音以及視訊。非揮發性儲存裝置可以是硬碟儲存裝置或快閃固態硬碟。在非揮發性大容量儲存裝置905中，它被載入必要的軟體，包含作業系統以及裝置驅動程式。

雲端伺服器驅動程式907被用以自智慧型裝置用戶端109與相應的雲端用戶端驅動程式通訊。雲端伺服器驅動程式907初始邀請、處理存取要求以及傳送回復資訊至智慧型裝置用戶端109。之後，傳送通訊要求至智慧型裝置用戶端109以及開啟其路由器對外的連接埠。一旦由智慧型裝置用戶端109發出要求抵達該開啟的連接埠，雙向通訊通道將被約束在一起。雲端伺服器驅動程式907與該智慧型裝置用戶端109開啟點對點通訊。

第10圖闡述一關於本發明之智慧型裝置用戶端109之方塊圖。智慧型裝置用戶端109包含一處理器1000、唯讀記憶體1001(ROM 1001)、隨機存取記憶體1002(RAM 1002)、網路介面1003、輸入/輸出1004(I/O 1004)以及非揮發性大容量儲存裝置1005。非揮發性儲存裝置1005更包含一作業系統1009、裝置驅動程式1008以及雲端用戶端驅動程式1007。智慧型裝置用戶端109可被載入應用程式1006，用以與私有雲端伺服器108通訊。

網路介面1003可連接至LAN、WAN或3G/4G網路。輸入/輸出1004可令使用者連結至外部世界的介面，包含輸入/輸出裝置，如：平板電腦、語音與視訊。非揮發性儲存裝置可以是硬碟儲存裝置或快閃固態硬碟。在非揮發性大容量儲存裝置1005中，它被載入必要的軟體，包含作業系統以及裝置驅動程式。

雲端用戶端驅動程式1007被設置以與來自私有雲端伺服器108相應的雲端伺服器驅動程式1007通訊。雲端裝置驅動程式1007回應來自私有雲端伺服器108邀請，回應存取要求，然後接收私有雲端伺服器108傳送之確認資訊。之後，傳送通訊要求至私有雲端伺服器108以及開啟其路由器對外的連接埠。一旦由私有雲端伺服器108發出的要求抵達該開啟之連接埠，雙向通訊通道將被約束在一起。智慧型裝置用戶端109將與該私有雲端伺服器108開啟安全之點對點通訊。

雖然本發明已經根據上述實施例被描述，所屬領域具通常知識者亦可輕易地明瞭這些實施例還可以有更多的變化，而這些變化不會脫離本發明的基本精神。據此，所屬領域具通常知識者可以不脫離專利申請範圍而做出更多本發明的實施例改變。

100．．．公用雲端

101．．．智慧型裝置用戶端

102．．．路由器_P(Router_P)

103．．．路由器_S(Router_S)

104．．．區域網路(LAN)

105．．．區域網路(LAN)

106．．．智慧型裝置用戶端

107．．．智慧型裝置用戶端

108．．．私有雲端伺服器

109．．．智慧型裝置用戶端

110．．．智慧型裝置用戶端

111．．．智慧型裝置用戶端

112．．．中間路由伺服器

113．．．公用雲端伺服器

114．．．VPN路由伺服器

115．．．用戶端資訊盒message_box_S

116．．．伺服器資訊盒message_box_P

117．．．公用網際網路協定_P(Public_IP_P)

118．．．私有網際網路協定_P(Private_IP_P)

119．．．公用網際網路協定_S(Public_IP_S)

120．．．私有網際網路協定_S(Private_IP_S)

900．．．處理器

901．．．唯讀記憶體(ROM)

902．．．隨機存取記憶體(RAM)

903．．．網路介面

904．．．輸入輸出(I/O)

905．．．非揮發性大容量儲存裝置

906．．．應用程式伺服器

907．．．雲端伺服器驅動程式

908．．．裝置驅動程式

909．．．作業系統

910．．．非揮發性大容量儲存伺服器

1000．．．處理器

1001．．．唯讀記憶體(ROM)

1002．．．隨機存取記憶體(RAM)

1003．．．網路介面

1004．．．輸入輸出(I/O)

1005．．．非揮發性大容量儲存裝置

1006．．．應用程式

1007．．．雲端用戶端驅動程式

1008．．．裝置驅動程式

1009．．．作業系統

第1A圖為一傳統雲端網路架構之一方塊圖；

第1B圖為一雲端網路架構之一實施例之一方塊圖；

第2圖闡述一經由設置Router_P在區域網路中以實體存取該私有雲端伺服器之傳統實現方法；

第3圖闡述一經由向VPN路由伺服器註冊以邏輯地存取該私有雲端伺服器之傳統實現方法；

第4圖闡述一經由向一中間路由伺服器註冊以邏輯地存取該私有雲端伺服器之傳統實現方法；

第5圖闡述一經由與一中間路由伺服器點對點通訊以邏輯地存取該私有雲端伺服器之傳統實現方法；

第6圖闡述一關於本發明之該私有雲端伺服器與該智慧型裝置用戶端之初始設定；

第7圖闡述一關於本發明之該智慧型裝置用戶端之通訊流程；

第8圖闡述一關於本發明之該私有雲端伺服器之通訊流程；

第9圖闡述一關於本發明之該私有雲端伺服器之方塊圖；以及

第10圖闡述一關於本發明之該智慧型裝置用戶端之方塊圖。