TWI676115B - 用以管控與雲端服務系統認證之系統及方法 - Google Patents

用以管控與雲端服務系統認證之系統及方法 Download PDF

Info

Publication number
TWI676115B
TWI676115B TW107124198A TW107124198A TWI676115B TW I676115 B TWI676115 B TW I676115B TW 107124198 A TW107124198 A TW 107124198A TW 107124198 A TW107124198 A TW 107124198A TW I676115 B TWI676115 B TW I676115B
Authority
TW
Taiwan
Prior art keywords
service system
cloud service
data
authentication
browser application
Prior art date
Application number
TW107124198A
Other languages
English (en)
Other versions
TW202006586A (zh
Inventor
陳廷煌
Ting Huang Chen
Original Assignee
優碩資訊科技股份有限公司
Trustview Inc.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 優碩資訊科技股份有限公司, Trustview Inc. filed Critical 優碩資訊科技股份有限公司
Priority to TW107124198A priority Critical patent/TWI676115B/zh
Priority to US16/510,377 priority patent/US11258793B2/en
Application granted granted Critical
Publication of TWI676115B publication Critical patent/TWI676115B/zh
Publication of TW202006586A publication Critical patent/TW202006586A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)

Abstract

本發明提供一種用以管控與雲端服務系統認證之系統及方法。當使用者操作資料處理裝置執行未防護啟動程序以啟動瀏覽器應用程式對資料儲存單元的未防護區域存取資料且經由瀏覽器應用程式將未包含關於資料儲存單元的防護區域之特徵資料的認證資料傳送至雲端服務系統時,雲端服務系統轉傳認證資料至認證伺服器。認證伺服器判斷認證資料是否包含關於防護區域之特徵資料,並且若判斷結果為否定者,認證伺服器則傳送代表拒絕登錄之警示訊息至雲端服務系統。雲端服務系統轉傳警示訊息至瀏覽器應用程式。

Description

用以管控與雲端服務系統認證之系統及方法
本發明關於一種用以管控與雲端服務系統認證之系統及方法,並且特別地,關於能確認使用者在資料處理裝置之安全的防護區域內操作才建立與雲端服務系統間認證的系統及方法。
現今企業、政府機關等單位內對於資料處理裝置使用的管控大多會運用資安人員以及管控軟體做到嚴密的管控。然而,隨著雲端服務的興起,企業、政府機關等單位也興起運用雲端服務資源,例如,雲端儲存、雲端運算、社群通訊等服務。個人運用雲端服務資源也日漸頻繁。
現行資料處理系統至雲端服務系統登錄認證的機制大多僅是憑藉輸入帳號、密碼薄弱的認證。隨著企業、政府機關等單位益加仰賴雲端服務資源,顯見地,亟需更加安全地管控與雲端服務系統認證之系統及方法。
中華民國發明專利第I592824號揭示一種能保護檔案的資料處理系統,其將資料儲存裝置區分為防護區域與未防護區域,因此勒索軟體等惡意攻擊,也無法攻擊儲存於防護區域內的重要檔案。針對使用者本機端架構防護區域,勒索軟體無法讀寫及破壞儲存在防護區域的重要檔案。然而,勒索軟體最常利用資料處理系統聯結至雲端服務系統時,被下載至資料處理系統內。目前,尚缺乏能防堵勒索軟體可能下載至上述先前技術之資料處理系統的技術。
因此,本發明所欲解決的技術問題在於提供一種用以管控與雲端服務系統認證之系統及方法。特別地,本發明之系統及方法能確認使用者在資料處理裝置之安全的防護區域內操作才建立與雲端服務系統間的認證。
本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統包含資料處理裝置、安全閘道裝置以及認證伺服器。資料處理裝置係能經由第一網路聯結至雲端服務系統。資料處理裝置包含資料儲存單元以及至少一處理器。資料儲存單元係被區分為未防護區域以及防護區域。瀏覽器應用程式係儲存於資料儲存單元內。關於資料儲存單元的防護區域之特徵資料係儲存於資料儲存單元的防護區域內。至少一處理器係連接至該資料儲存單元。安全閘道裝置係連接至資料處理裝置。認證伺服器係能以第二網路聯結至雲端服務系統,並且其內存多筆第一認證資料。當使用者操作至少一處理器執行未防護啟動程序以啟動儲存於資料儲存單元的瀏覽器應用程式對資料儲存單元的未防護區域存取資料進而聯結至雲端服務系統時,至少一處理器讓瀏覽器應用程式經由第一網路聯結至雲端服務系統。使用者操作瀏覽器應用程式傳送登錄要求資訊至雲端服務系統。雲端服務系統經由第二網路轉傳登錄要求資訊至認證伺服器。認證伺服器回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統。雲端服務系統轉傳認證資料要求資訊至瀏覽器應用程式。使用者回應該認證資料要求資訊操作瀏覽器應用程式輸入第二認證資料,並且將第二認證資料傳送至雲端服務系統。雲端服務系統轉傳第二認證資料至認證伺服器。認證伺服器判斷第二認證資料是否包含關於防護區域之特徵資料,並且若判斷結果為否定者,認證伺服器則傳送代表拒絕登錄之警示訊息至雲端服務系統。雲端服務系統轉傳警示訊息至瀏覽器應用程 式。
進一步,當使用者操作至少一處理器執行防護啟動程序以啟動儲存於資料儲存單元內之瀏覽器應用程式對資料儲存單元的防護區域存取資料進而聯結至雲端服務系統時,至少一處理器讓瀏覽器應用程式經由安全閘道裝置與第一網路聯結至雲端服務系統。使用者操作瀏覽器應用程式傳送登錄要求資訊至雲端服務系統。雲端服務系統經由第二網路轉傳登錄要求資訊至認證伺服器。認證伺服器回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統。雲端服務系統轉傳認證資料要求資訊至瀏覽器應用程式。使用者回應認證資料要求資訊操作瀏覽器應用程式輸入第三認證資料。瀏覽器應用程式從資料儲存單元的防護區域內內擷取關於防護區域之特徵資料,並且將第三認證資料與特徵資料合併成第四認證資料。瀏覽器應用程式將第四認證資料傳送至雲端服務系統。雲端服務系統轉傳第四認證資料至認證伺服器。認證伺服器判斷第四認證資料是否包含關於防護區域之特徵資料,若判斷結果為肯定者,認證伺服器則將第三認證資料與多筆第一認證資料做比對。若比對結果為肯定者,認證伺服器傳送登錄確認訊息至雲端服務系統。雲端服務系統轉傳登錄確認訊息至瀏覽器應用程式。
本發明之第二較佳具體實施例之用以管控與雲端服務系統認證之方法,其實施環境為資料處理裝置係能經由第一網路聯結至該雲端服務系統。資料處理裝置包含資料儲存單元以及至少一處理器。資料儲存單元係被區分為未防護區域以及防護區域。瀏覽器應用程式係儲存於資料儲存單元內。關於資料儲存單元的防護區域之特徵資料係儲存於資料儲存單元的防護區域內。認證伺服器係能以第二網路聯結至雲端服務系統,並且其內存多筆第一認證資料。首先,本發明之方法係當使用者操作至少一處理器執行未防護啟動程 序以啟動儲存於資料儲存單元內之瀏覽器應用程式對未防護區域存取資料進而聯結至雲端服務系統時,由至少一處理器讓瀏覽器應用程式經由第一網路聯結至雲端服務系統。接著,本發明之方法係由使用者操作瀏覽器應用程式傳送登錄要求資訊至雲端服務系統。接著,本發明之方法係由雲端服務系統經由第二網路轉傳登錄要求資訊至認證伺服器。接著,本發明之方法係由認證伺服器回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統。接著,本發明之方法係由雲端服務系統轉傳認證資料要求資訊至瀏覽器應用程式。接著,本發明之方法係由使用者回應認證資料要求資訊操作瀏覽器應用程式輸入第二認證資料,並且將第二認證資料傳送至雲端服務系統。接著,本發明之方法係由雲端服務系統轉傳第二認證資料至認證伺服器。接著,本發明之方法係由認證伺服器判斷第二認證資料是否包含關於防護區域之特徵資料。接著,若判斷結果為否定者,本發明之方法係由認證伺服器傳送代表拒絕登錄之警示訊息至雲端服務系統。最後,本發明之方法係由雲端服務系統轉傳警示訊息至瀏覽器應用程式。
本發明之第三較佳具體實施例之用以管控與雲端服務系統認證之方法,其實施環境為資料處理裝置係能經由第一網路聯結至該雲端服務系統。資料處理裝置包含資料儲存單元以及至少一處理器。資料儲存單元係被區分為未防護區域以及防護區域。瀏覽器應用程式係儲存於資料儲存單元內。關於資料儲存單元的防護區域之特徵資料係儲存於資料儲存單元的防護區域內。認證伺服器係能以第二網路聯結至雲端服務系統,並且其內存多筆第一認證資料。首先,本發明之方法係當使用者操作至少一處理器執行防護啟動程序以啟動儲存於資料儲存單元的防護區域內瀏覽器應用程式對防護區域存取資料進而聯結至雲端服務系統時,由至少一處理器讓瀏覽器應用程式經由安全閘道裝置與第一網路聯結至雲端服務系統。接著,本發明之方法係由使用者操作瀏覽器 應用程式傳送登錄要求資訊至雲端服務系統。接著,本發明之方法係由雲端服務系統經由第二網路轉傳登錄要求資訊至認證伺服器。接著,本發明之方法係由認證伺服器回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統。接著,本發明之方法係由雲端服務系統轉傳認證資料要求資訊至瀏覽器應用程式。接著,本發明之方法係由使用者回應認證資料要求資訊操作瀏覽器應用程式輸入第三認證資料。接著,本發明之方法係由瀏覽器應用程式從資料儲存單元的防護區域內擷取關於防護區域之特徵資料且將第三認證資料與特徵資料合併成第四認證資料,並將第四認證資料傳送至雲端服務系統。接著,本發明之方法係由雲端服務系統轉傳第四認證資料至認證伺服器。接著,本發明之方法係由認證伺服器判斷第四認證資料是否包含關於防護區域之特徵資料。接著,若判斷結果為肯定者,本發明之方法係由認證伺服器將第三認證資料與多筆第一認證資料做比對。接著,若比對結果為肯定者,本發明之方法係由認證伺服器傳送登錄確認訊息至雲端服務系統。最後,本發明之方法係由雲端服務系統轉傳登錄確認訊息至瀏覽器應用程式。
於一具體實施例中,警示訊息可以包含要求至防護區域登錄資訊。
於一具體實施例中,每一筆第一認證資料可以包含帳號、密碼、樣本臉部影像、樣本臉部影像、樣本生物辨識資料,或其他可供認證的資料。
與先前技術相較,根據本發明之用以管控與雲端服務系統認證之系統及方法能確認使用者在資料處理裝置之安全的防護區域內操作才建立與雲端服務系統間的認證。
關於本發明之優點與精神可以藉由以下的發明詳述及所附圖式得到進一步的瞭解。
1‧‧‧系統
12‧‧‧資料處理裝置
120‧‧‧處理器
122‧‧‧資料儲存單元
1222‧‧‧未防護區域
1224‧‧‧防護區域
1226‧‧‧特徵資料
124‧‧‧瀏覽器應用程式
14‧‧‧安全閘道裝置
16‧‧‧認證伺服器
160‧‧‧處理器
162‧‧‧資料儲存裝置
1622‧‧‧第一認證資料
2‧‧‧雲端服務系統
3‧‧‧第一網路
4‧‧‧第二網路
5‧‧‧使用者
6‧‧‧方法
S60~S68‧‧‧流程步驟
7‧‧‧方法
S70~S81‧‧‧流程步驟
圖1為實施根據本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統及其實施架構之示意圖。
圖2為為根據本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統之功能區塊圖。
圖3為根據本發明之第二較佳具體實施例之用以管控與雲端服務系統認證之方法的流程圖。
圖4為根據本發明之第三較佳具體實施例之用以管控與雲端服務系統認證之方法的流程圖。
請參閱圖1及圖2,根據本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統1及其實施架構係繪示於圖1中。圖2係根據本發明之第一較佳具體實施例之用以管控與雲端服務系統認證之系統1之功能區塊圖。
如圖1及圖2所示,本發明之第一較佳具體實施例之用以管控與雲端服務系統2認證之系統1包含資料處理裝置12、安全閘道裝置14以及認證伺服器16。
資料處理裝置12係能經由第一網路3聯結至該雲端服務系統2。資料處理裝置12包含資料儲存單元122以及至少一處理器120。資料儲存單元122係被區分為未防護區域1222以及防護區域1224。瀏覽器應用程式124係儲存於資料儲存單元122內。關於資料儲存單元122的防護區域1224之特徵資料1226係儲存於資料儲存單元122的防護區域1224內。
於一具體實施例中,第一網路3可以是企業內網路(intranet)、網際網路(internet)、企業外網路(extranet)、區域網路(local area network)、廣域網路(wide area network)、乙太網路(Ethernet)、有線電視線路(cable TV network)、無線電信網路(radio telecommunication network)、公眾交換電話網路(public switched telephone network)、3G網路、4G網路、5G網路、HSPA網路、Wi-Fi網路、WiMAX網路、LTE網路,或其他現行商用的公眾網路。
至少一處理器120係連接至資料儲存單元122。安全閘道裝置14係連接至資料處理裝置12。認證伺服器16係能以第二網路4聯結至雲端服務系統2,並且其內存多筆第一認證資料。認證伺服器16包含至少一處理器160以及資料儲存裝置162。至少一處理器160係連接至資料儲存裝置162。資料儲存裝置162用以儲存多筆第一認證資料1622。
於一具體實施例中,第二網路4可以是企業內網路、網際網路、企業外網路、區域網路視線路、無線電信網路、公眾交換電話網路、3G網路、4G網路、5G網路、HSPA網路、Wi-Fi網路、WiMAX網路、LTE網路,或其他現行商用的公眾網路。於實際應用中,第一網路3與第二網路4可以是同一個網路。
如圖2所示,當使用者5操作至少一處理器120執行未防護啟動程序以啟動儲存於資料儲存單元122的內之瀏覽器應用程式124對資料儲存單元122的未防護區域1222存取資料進而聯結至雲端服務系統2時,至少一處理器120讓瀏覽器應用程式124經由第一網路3聯結至雲端服務系統2。使用者5操作瀏覽器應用程式124傳送登錄要求資訊至雲端服務系統2。雲端服務系統2經由第二網路4轉傳登錄要求資訊至認證伺服器16。認證伺服器16回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統2。雲端服務系統2轉傳認證 資料要求資訊至瀏覽器應用程式124。使用者5回應該認證資料要求資訊操作瀏覽器應用程式124輸入第二認證資料,並且將第二認證資料傳送至雲端服務系統2。雲端服務系統2轉傳第二認證資料至認證伺服器16。認證伺服器16判斷第二認證資料是否包含關於防護區域1224之特徵資料1226,並且若判斷結果為否定者,認證伺服器16則傳送代表拒絕登錄之警示訊息至雲端服務系統2。雲端服務系統2轉傳警示訊息至瀏覽器應用程式124。
於一具體實施例中,警示訊息可以包含要求至防護區域1224登錄資訊。
進一步,同樣如圖2所示,當使用者5操作至少一處理器120執行防護啟動程序以啟動儲存於資料儲存單元122內之瀏覽器應用程式124對資料儲存單元122的防護區域1224存取資料進而聯結至雲端服務系統2時,至少一處理器120讓瀏覽器應用程式124經由安全閘道裝置14與第一網路3聯結至雲端服務系統2。使用者5操作瀏覽器應用程式124傳送登錄要求資訊至雲端服務系統2。雲端服務系統2經由第二網路4轉傳登錄要求資訊至認證伺服器16。認證伺服器16回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統2。雲端服務系統2轉傳認證資料要求資訊至瀏覽器應用程式124。使用者5回應認證資料要求資訊操作瀏覽器應用程式124輸入第三認證資料。瀏覽器應用程式124從資料儲存單元122的防護區域1224內擷取關於防護區域1224之特徵資料1226,並且將第三認證資料與特徵資料1226合併成第四認證資料。瀏覽器應用程式124將第四認證資料傳送至雲端服務系統2。雲端服務系統2轉傳第四認證資料至認證伺服器16。認證伺服器16判斷第四認證資料是否包含關於防護區域1224之特徵資料1226,若判斷結果為肯定者,認證伺服器16則將第三認證資料與多筆第一認證資料1622做比對。若比對 結果為肯定者,認證伺服器16傳送登錄確認訊息至雲端服務系統2。雲端服務系統2轉傳登錄確認訊息至瀏覽器應用程式124。
於一具體實施例中,每一筆第一認證資料1622可以包含帳號、密碼、樣本臉部影像、樣本臉部影像、樣本生物辨識資料,或其他可供認證的資料。
請參閱圖3,圖3係繪示本發明之第二較佳具體實施例之用以管控與雲端服務系統2認證之方法6的流程圖。本發明之方法6其實施環境請參閱圖1所示的實施架構圖,並且參閱圖2所示用以管控與雲端服務系統認證之系統1之功能區塊圖。資料處理裝置12係能經由第一網路3聯結至該雲端服務系統2。資料處理裝置12包含資料儲存單元122以及至少一處理器120。資料儲存單元122係被區分為未防護區域1222以及防護區域1224。瀏覽器應用程式124係儲存於資料儲存單元122內。關於資料儲存單元122的防護區域1224之特徵資料1226係儲存於資料儲存單元122的防護區域1224內。認證伺服器16係能以第二網路4聯結至雲端服務系統2,並且其內存多筆第一認證資料1622。
首先,本發明之方法6係執行步驟S60,當使用者5操作至少一處理器120執行未防護啟動程序以啟動儲存於資料儲存單元122的內之瀏覽器應用程式124對資料儲存單元122的未防護區域1222存取資料進而聯結至雲端服務系統2時,由至少一處理器120讓瀏覽器應用程式124經由第一網路3聯結至雲端服務系統2。
接著,本發明之方法係執行步驟S61,由使用者5操作瀏覽器應用程式124傳送登錄要求資訊至雲端服務系統2。
接著,本發明之方法係執行步驟S62,由雲端服 務系統2經由第二網路4轉傳登錄要求資訊至認證伺服器16。
接著,本發明之方法係執行步驟S63,由認證伺服器16回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統2。
接著,本發明之方法係執行步驟S64,由雲端服務系統2轉傳認證資料要求資訊至瀏覽器應用程式124。
接著,本發明之方法係執行步驟S65,由使用者5回應認證資料要求資訊操作瀏覽器應用程式124輸入第二認證資料,並且將第二認證資料傳送至雲端服務系統2。
接著,本發明之方法係執行步驟S66,由雲端服務系統2轉傳第二認證資料至認證伺服器16。接著,本發明之方法係由認證伺服器16判斷第二認證資料是否包含關於防護區域1224之特徵資料1226。
接著,若步驟S66的判斷結果為否定者,本發明之方法係執行步驟S67,由認證伺服器16傳送代表拒絕登錄之警示訊息至雲端服務系統2。
最後,本發明之方法係執行步驟S68,由雲端服務系統2轉傳警示訊息至瀏覽器應用程式124。
於一具體實施例中,警示訊息可以包含要求至防護區域1224登錄資訊。
於一具體實施例中,每一筆第一認證資料1622可以包含帳號、密碼、樣本臉部影像、樣本臉部影像、樣本生物辨識資料,或其他可供認證的資料。
請參閱圖4,圖4係繪示本發明之第三較佳具體實施例之用以管控與雲端服務系統2認證之方法7的流程圖。同樣請參閱圖1及圖2,本發明之方法7其實施環境與本發明 之方法6之實施環境相同,在此不再贅述。
首先,本發明之方法係執行步驟S70,當使用者5操作至少一處理器120執行防護啟動程序以啟動儲存於資料儲存單元122內瀏覽器應用程式124對資料儲存單元122的防護區域1224存取資料進而聯結至雲端服務系統2時,由至少一處理器120讓瀏覽器應用程式124經由安全閘道裝置14與第一網路3聯結至雲端服務系統2。
接著,本發明之方法係執行步驟S71,由使用者5操作瀏覽器應用程式124傳送登錄要求資訊至雲端服務系統2。
接著,本發明之方法係執行步驟S72,由雲端服務系統2經由第二網路4轉傳登錄要求資訊至認證伺服器16。
接著,本發明之方法係執行步驟S73,由認證伺服器16回應登錄要求資訊傳送認證資料要求資訊至雲端服務系統2。
接著,本發明之方法係執行步驟S74,由雲端服務系統2轉傳認證資料要求資訊至瀏覽器應用程式124。
接著,本發明之方法係執行步驟S75,由使用者5回應認證資料要求資訊操作瀏覽器應用程式124輸入第三認證資料。
接著,本發明之方法係執行步驟S76,由瀏覽器應用程式124從資料儲存單元122的防護區域1224內擷取關於防護區域1224之特徵資料1226且將第三認證資料與特徵資料1226合併成第四認證資料,並將第四認證資料傳送至雲端服務系統2。
接著,本發明之方法係執行步驟S77,由雲端服 務系統2轉傳第四認證資料至認證伺服器16。
接著,本發明之方法係執行步驟S78,由認證伺服器16判斷第四認證資料是否包含關於防護區域1224之特徵資料1226。
接著,若步驟S78之判斷結果為肯定者,本發明之方法係執行步驟S79,由認證伺服器16將第三認證資料與多筆第一認證資料1622做比對。
接著,若步驟S79之比對結果為肯定者,本發明之方法係執行步驟S80,由認證伺服器16傳送登錄確認訊息至雲端服務系統2。
最後,本發明之方法係執行步驟S81,由雲端服務系統2轉傳登錄確認訊息至瀏覽器應用程式124。
於一具體實施例中,每一筆第一認證資料1622可以包含帳號、密碼、樣本臉部影像、樣本臉部影像、樣本生物辨識資料,或其他可供認證的資料。
藉由以上對本發明之系統及方法的詳細描述,可以清楚地了解根據本發明之用以管控與雲端服務系統認證之系統及方法能確認使用者在資料處理裝置之安全的防護區域內操作才建立與雲端服務系統間的認證,可以達成安全地與雲端服務系統認證的目的。
藉由以上較佳具體實施例之詳述,係希望能更加清楚描述本發明之特徵與精神,而並非以上述所揭露的較佳具體實施例來對本發明之面向加以限制。相反地,其目的是希望能涵蓋各種變更及具相等性的安排於本發明所欲申請之專利範圍的面向內。因此,本發明所申請之專利範圍的面向應該根據上述的說明作最寬廣的解釋,以致使其涵蓋所有可能的變更以及具相等性的安排。

Claims (9)

  1. 一種用以管控與一雲端服務系統認證之系統,包含:一資料處理裝置,係能經由一第一網路聯結至該雲端服務系統,包含:一資料儲存單元,係被區分為一未防護區域以及一防護區域,其中一瀏覽器應用程式係儲存於該資料儲存單元內,關於該防護區域之一特徵資料係儲存於該防護區域內;以及至少一處理器,係連接至該資料儲存單元;一安全閘道裝置,係連接至該資料處理裝置;以及一認證伺服器,係能以一第二網路聯結至該雲端服務系統且其內存多筆第一認證資料;其中當一使用者操作該至少一處理器執行一未防護啟動程序以啟動該瀏覽器應用程式對該未防護區域存取資料進而聯結至該雲端服務系統時,該至少一處理器讓該瀏覽器應用程式經由該第一網路聯結至該雲端服務系統,該使用者操作該瀏覽器應用程式傳送一登錄要求資訊至該雲端服務系統,該雲端服務系統經由該第二網路轉傳該登錄要求資訊至該認證伺服器,該認證伺服器回應該登錄要求資訊傳送一認證資料要求資訊至該雲端服務系統,該雲端服務系統轉傳該認證資料要求資訊至該瀏覽器應用程式,該使用者回應該認證資料要求資訊操作該瀏覽器應用程式輸入一第二認證資料且將該第二認證資料傳送至該雲端服務系統,該雲端服務系統轉傳該第二認證資料至該認證伺服器,該認證伺服器判斷該第二認證資料是否包含關於該防護區域之該特徵資料,並且若判斷結果為否定者,該認證伺服器則傳送代表拒絕登錄之一警示訊息至該雲端服務系統,該雲端服務系統轉傳該警示訊息至該瀏覽器應用程式。
  2. 如請求項1所述之系統,其中該警示訊息包含一要求至該防護區域登錄資訊。
  3. 如請求項2所述之系統,其中每一筆第一認證資料包含由一帳號、一密碼、一樣本臉部影像、一樣本臉部影像以及一樣本生物辨識資料所組成之群組中之其一。
  4. 如請求項3所述之系統,其中當該使用者操作該至少一處理器執行一防護啟動程序以啟動該瀏覽器應用程式對該防護區域存取資料進而聯結至該雲端服務系統時,該至少一處理器讓該瀏覽器應用程式經由該安全閘道裝置與該第一網路聯結至該雲端服務系統,該使用者操作該瀏覽器應用程式傳送該登錄要求資訊至該雲端服務系統,該雲端服務系統經由該第二網路轉傳該登錄要求資訊至該認證伺服器,該認證伺服器回應該登錄要求資訊傳送該認證資料要求資訊至該雲端服務系統,該雲端服務系統轉傳該認證資料要求資訊至該瀏覽器應用程式,該使用者回應該認證資料要求資訊操作該瀏覽器應用程式輸入一第三認證資料,該瀏覽器應用程式從該防護區域內擷取關於該防護區域之該特徵資料且將該第三認證資料與該特徵資料合併成一第四認證資料並將該第四認證資料傳送至該雲端服務系統,該雲端服務系統轉傳該第四認證資料至該認證伺服器,該認證伺服器判斷該第四認證資料是否包含關於該防護區域之該特徵資料,若判斷結果為肯定者,該認證伺服器則將該第三認證資料與該多筆第一認證資料做比對,若比對結果為肯定者,該認證伺服器傳送一登錄確認訊息至該雲端服務系統,該雲端服務系統轉傳該登錄確認訊息至該瀏覽器應用程式。
  5. 一種用以管控與一雲端服務系統認證之方法,其中一資料處理裝置係能經由一第一網路聯結至該雲端服務系統,該資料處理裝置包含一資料儲存單元以及至少一處理器,該資料儲存單元係被區分為一未防護區域以及一防護區域,一瀏覽器應用程式係儲存於該資料儲存單元內,關於該防護區域之一特徵資料係儲存於該防護區域內,一認證伺服器係能以一第二網路聯結至該雲端服務系統且其內存多筆第一認證資料,該方法包含下列步驟:(a)當一使用者操作該至少一處理器執行一未防護啟動程序以啟動該瀏覽器應用程式對該未防護區域存取資料進而聯結至該雲端服務系統時,由該至少一處理器讓該瀏覽器應用程式經由該第一網路聯結至該雲端服務系統;(b)由該使用者操作該瀏覽器應用程式傳送一登錄要求資訊至該雲端服務系統;(c)由該雲端服務系統經由該第二網路轉傳該登錄要求資訊至該認證伺服器;(d)由該認證伺服器回應該登錄要求資訊傳送一認證資料要求資訊至該雲端服務系統;(e)由該雲端服務系統轉傳該認證資料要求資訊至該瀏覽器應用程式;(f)由該使用者回應該認證資料要求資訊操作該瀏覽器應用程式輸入一第二認證資料且將該第二認證資料傳送至該雲端服務系統;(g)由該雲端服務系統轉傳該第二認證資料至該認證伺服器;(h)由該認證伺服器判斷該第二認證資料是否包含關於該防護區域之該特徵資料;(i)若步驟(h)之判斷結果為否定者,由該認證伺服器傳送代表拒絕登錄之一警示訊息至該雲端服務系統;以及(j)由該雲端服務系統轉傳該警示訊息至該瀏覽器應用程式。
  6. 如請求項5所述之方法,其中該警示訊息包含一要求至該防護區域登錄資訊。
  7. 如請求項6所述之方法,其中每一筆第一認證資料包含由一帳號、一密碼、一樣本臉部影像、一樣本臉部影像以及一樣本生物辨識資料所組成之群組中之其一。
  8. 一種用以管控與一雲端服務系統認證之方法,其中一資料處理裝置係能經由一第一網路聯結至該雲端服務系統,該資料處理裝置包含一資料儲存單元以及至少一處理器,該資料儲存單元係被區分為一未防護區域以及一防護區域,一瀏覽器應用程式係儲存於該資料儲存單元內,關於該防護區域之一特徵資料係儲存於該防護區域內,一認證伺服器係能以一第二網路聯結至該雲端服務系統且其內存多筆第一認證資料,該方法包含下列步驟:(a)當該使用者操作該至少一處理器執行一防護啟動程序以啟動該瀏覽器應用程式對該防護區域存取資料進而聯結至該雲端服務系統時,由該至少一處理器讓該瀏覽器應用程式經由一安全閘道裝置與該第一網路聯結至該雲端服務系統;(b)由該使用者操作該瀏覽器應用程式傳送該登錄要求資訊至該雲端服務系統;(c)由該雲端服務系統經由該第二網路轉傳該登錄要求資訊至該認證伺服器;(d)由該認證伺服器回應該登錄要求資訊傳送該認證資料要求資訊至該雲端服務系統;(e)由該雲端服務系統轉傳該認證資料要求資訊至該瀏覽器應用程式;(f)由該使用者回應該認證資料要求資訊操作該瀏覽器應用程式輸入一第三認證資料;(g)由該瀏覽器應用程式從該憑證管理模組內擷取關於該防護區域之該特徵資料且將該第三認證資料與該特徵資料合併成一第四認證資料並將該第四認證資料傳送至該雲端服務系統;(h)由該雲端服務系統轉傳該第四認證資料至該認證伺服器;(i)由該認證伺服器判斷該第四認證資料是否包含關於該防護區域之該特徵資料;(j)若步驟(i)之判斷結果為肯定者,由該認證伺服器將該第三認證資料與該多筆第一認證資料做比對;(k)若步驟(j)之比對結果為肯定者,由該認證伺服器傳送一登錄確認訊息至該雲端服務系統;以及(l)由該雲端服務系統轉傳該登錄確認訊息至該瀏覽器應用程式。
  9. 如請求項8所述之方法,其中每一筆第一認證資料包含由一帳號、一密碼、一樣本臉部影像、一樣本臉部影像以及一樣本生物辨識資料所組成之群組中之其一。
TW107124198A 2018-07-13 2018-07-13 用以管控與雲端服務系統認證之系統及方法 TWI676115B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW107124198A TWI676115B (zh) 2018-07-13 2018-07-13 用以管控與雲端服務系統認證之系統及方法
US16/510,377 US11258793B2 (en) 2018-07-13 2019-07-12 Managing system and managing method for managing authentication for cloud service system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107124198A TWI676115B (zh) 2018-07-13 2018-07-13 用以管控與雲端服務系統認證之系統及方法

Publications (2)

Publication Number Publication Date
TWI676115B true TWI676115B (zh) 2019-11-01
TW202006586A TW202006586A (zh) 2020-02-01

Family

ID=69139297

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107124198A TWI676115B (zh) 2018-07-13 2018-07-13 用以管控與雲端服務系統認證之系統及方法

Country Status (2)

Country Link
US (1) US11258793B2 (zh)
TW (1) TWI676115B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114765558B (zh) * 2021-01-15 2024-04-09 台达电子工业股份有限公司 工业设备监控方法及工业设备监控系统
CN114244548B (zh) * 2021-04-12 2023-10-13 无锡江南计算技术研究所 一种面向云ide的动态调度和用户认证方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1141678C (zh) * 2000-08-31 2004-03-10 优硕资讯科技股份有限公司 可防止电子文件盗版的方法及其系统
TWM508729U (zh) * 2015-04-09 2015-09-11 guan-hong Lin 應用於物聯裝置之網路安全防護模組
TW201712586A (zh) * 2015-09-25 2017-04-01 緯創資通股份有限公司 惡意程式碼分析方法與系統、資料處理裝置及電子裝置
TW201741924A (zh) * 2016-05-23 2017-12-01 緯創資通股份有限公司 惡意碼的防護方法、系統及監控裝置

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4946564B2 (ja) * 2007-03-27 2012-06-06 富士通株式会社 認証処理方法及びシステム
US8019995B2 (en) * 2007-06-27 2011-09-13 Alcatel Lucent Method and apparatus for preventing internet phishing attacks
US9594911B1 (en) * 2012-09-14 2017-03-14 EMC IP Holding Company LLC Methods and apparatus for multi-factor authentication risk detection using beacon images
GB2566657B8 (en) * 2016-06-30 2022-04-13 Sophos Ltd Proactive network security using a health heartbeat
TWI592824B (zh) 2016-07-12 2017-07-21 優碩資訊科技股份有限公司 能保護檔案的資料處理系統
US10853511B2 (en) * 2018-03-19 2020-12-01 Salesforce.Com, Inc. Securely accessing and processing data in a multi-tenant data store

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1141678C (zh) * 2000-08-31 2004-03-10 优硕资讯科技股份有限公司 可防止电子文件盗版的方法及其系统
TWM508729U (zh) * 2015-04-09 2015-09-11 guan-hong Lin 應用於物聯裝置之網路安全防護模組
TW201712586A (zh) * 2015-09-25 2017-04-01 緯創資通股份有限公司 惡意程式碼分析方法與系統、資料處理裝置及電子裝置
TW201741924A (zh) * 2016-05-23 2017-12-01 緯創資通股份有限公司 惡意碼的防護方法、系統及監控裝置

Also Published As

Publication number Publication date
US11258793B2 (en) 2022-02-22
US20200021587A1 (en) 2020-01-16
TW202006586A (zh) 2020-02-01

Similar Documents

Publication Publication Date Title
US10110585B2 (en) Multi-party authentication in a zero-trust distributed system
US20210314312A1 (en) System and method for transferring device identifying information
US20090031399A1 (en) Method and Apparatus for Content Based Authentication for Network Access
CN114553540B (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
US9608973B2 (en) Security management system including multiple relay servers and security management method
WO2023159994A1 (zh) 一种运维处理方法和终端设备
CN104202338A (zh) 一种适用于企业级移动应用的安全接入方法
US10873497B2 (en) Systems and methods for maintaining communication links
JP4437043B2 (ja) コンピュータと通信ネットワークとの間のアクセスを自動的に制御する方法および装置
US9635017B2 (en) Computer network security management system and method
TW201928750A (zh) 比對伺服器、比對方法及電腦程式
TWI676115B (zh) 用以管控與雲端服務系統認證之系統及方法
CN109995769A (zh) 一种多级异构跨区域的全实时安全管控方法
CN110766850B (zh) 访客信息管理方法、门禁系统、服务器及存储介质
CN106790134B (zh) 一种视频监控系统的访问控制方法及安全策略服务器
CN114244568A (zh) 基于终端访问行为的安全接入控制方法、装置和设备
CN104601578A (zh) 一种攻击报文识别方法、装置及核心设备
CN114915427B (zh) 访问控制方法、装置、设备及存储介质
KR101404537B1 (ko) 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법
CN115720171A (zh) 一种安全智能网关系统、数据传输方法
CN114254352A (zh) 一种数据安全传输系统、方法和装置
CN115486030A (zh) 流氓证书检测
US10567387B1 (en) Systems and methods for managing computing device access to local area computer networks
KR102627397B1 (ko) 동적 포트를 이용한 역방향 네트워크 접속 시스템
KR102664208B1 (ko) 사용자 네트워크 프로파일 기반 서비스 제공 방법