专利名称:用于安全远程台式机访问的系统和方法
技术领域:
本发明涉及安全计算机网络。具体地说,本发明涉及安全地访问 远禾呈台式才几的系统和方法。
背景技术:
人在离开他/她的办公室后经常需要访问他/她的台式计算机。当雇 员离开办公室时,他们可以通过通信网络例如互联网来访问他们的台 式机。但是,从互联网直接访问台式计算机会给公司的内部网络带来
很高的安全风险,并且很多公司禁止从互联网直接访问内部的台式机。 作为替代,很多公司允许经由远程访问软件来访问台式计算机,
例如可从位于佛罗里达Ft. Lauderdale的Citrix System Inc.公司获得的 软件Metaframe Access Suite(元帧访问系歹'J )。在软件Metaframe Access Suite中,客户软件安装在雇员离开办公室后随身携带的便携式计算机 上。客户软件与运行服务器软件部分的服务器建立一个连接,该连接 在便携式计算机和服务器之间建立一个安全通信通道。服务器产生该 雇员台式计算机的虚拟机器,用户访问该虛拟机器而不是台式计算机, 就象访问他/她的台式计算机一样。服务器为每个从远程位置访问该服 务器的雇员产生一个虚拟机器。换句话说,如果有20个从远程位置访 问服务器的雇员,服务器就产生20个虛拟机器。虽然雇员只是与他/ 她的虛拟机器进行交互,但是由于服务器的资源必须被与其它虚拟机 器共享,因此虛拟机器的响应将下降。
另一个远程访问方案的例子是由位于佛罗里达Ft. Lauderdale的 Citrix System Inc.公司提供的GoToMyPC服务。该服务安装一个小型 服务器应用程序到台式计算机上,它利用ping命令周期性地访问位于 第三方站点的 一 个代理。当远程计算机的用户想与台式计算机通信时,
6
则到达一个安全网站并登入。上述代理将用户与他/她的台式计算机进 行匹配,且向同样位于第三方站点的通信服务器分配进程。在上述进 程中,该通信服务器从远程计算机传送不透明且高度压缩的加密数据 流到办公室计算机。该服务能够使具有较少IT/安全人员的小公司从远 程位置透明地连接到他们的办公室计算机,且不用维护该服务所提供 的内部安全结构。但是,在大公司中,从办公室计算机引起的进程增 大了网络的流量,并使许多大公司作为日常安全工作一部分执行的流 出通信监视的工作量大增。因此,需要一种从远程直接和安全地访问 雇员台式计算机的系统和方法。
发明内容
下面描述本发明的特征和优点,它们可从说明书中获得,也可以 从实施本发明而学到。本发明的目的和其它优点通过下面的详细描述、 权利要求和附图所指出的具体结构而实现和取得。
如下文所体现和描述,为实现根据本发明目的的这些及其它优点,
一种安全远程访问系统包括安装在便携式计算机上的客户软件,它 通过一个安全通道与安装在公司内部网络的DMZ中的一个服务器上 的对应服务器软件建立一个远程进程。该DMZ服务器连接到一个企 业第二层防火墙后的路由器。如果该台式计算机允许远程访问,该路 由器将上述远程进程路由到适合的台式计算机。可以配有 一个带宽限 制器以平衡通过路由器的载荷。
本发明的一个实施例涉及一个系统,该系统包括存储在远程计 算机上的客户安全通道;在企业DMZ防火墙和第二层防火墙之间的 服务器安全通道,客户安全通道和服务器安全通道形成位于远程计算 机和服务器安全通道之间的一个安全通道;通过第二层防火墙与服务 器安全通道通信的路由器;和与路由器通信的办公室计算机,该办公 室计算机可以由远程计算机通过安全通道和上述路由器远程操作。
提供用于帮助进一 步理解本发明且作为本说明书 一部分的附图描 述了本发明的实施例,并且与后面的描述一起用于解释本发明的原理。 附图包括
图1为显示本发明实施例的方框图。
具体实施例方式
下面参照附图示出的本发明优选实施例作出详细描述。下文的描 述应理解为描述本发明的例示性实施例。本领域普通技术人员能够认 识到,例如所描述的实施例只是安全远程台式机访问的新颖系统和方 法的简单例子。在不脱离本发明范围的情况下,可以根据下面的描述 实现其它实施例。
图1是显示本发明实施例的方框图。在图1中,远程计算机110 在通信网络115例如互联网上与安全通道服务器120开始一个通信进 程。安全通道服务器120通过查询安全政策管理器125确定是否允许 该进程。 一旦该进程被允许,安全通道服务器120通过第二层防火墙 127将该通信进程发送到位于第二层防火墙内的路由器130。路由器 130查询台式机许可管理135,以确定是否允许远程访问所请求的办公 室计算机。如果允许访问所请求的办公室计算机,路由器130则将上 述进程流量路由到办公室计算机150。 一旦在远程计算机110和办公 室计算机150之间建立了进程,用户可以从远程计算机执行办公室计 算机上的程序和访问文件。
在本实施例中,远程计算机110包括客户显示模块,例如作为位 于华盛顿Redmond的微软(Microsoft Corporation V/^司的Windows XP 专业片反才喿作系统的一部分的Microsoft Remote Desktop Protocol ( RDP, 远程台式机协议)。RDP模块112使得远程计算机能够显示用户在操 作办公室计算机时所看到的屏幕,且能够从远程计算机向办公室计算 机发送输入指令,例如鼠标的移动和键盘的敲击。
远程计算机110还包括客户安全通道114,客户安全通道114将 RDP数据封装以用于在不安全的网络,例如互联网上传输。客户安全
通道114还从不安全网络上接收数据包、解开RDP数据以及将RDP 数据发送到RDP模块112。
客户安全通道114优选为存储在远程计算机的存储装置上的Java 程序。虽然基于客户安全通道和RDP的Java使用消除了在远程计算 机110上安装附加软件组件的需要,但是在不背离本发明范围的情况 下,也可以使用其它类型的界面。例如其它的显示协议和平台,如Linux 平台上的独立计算结构(Independent Computing Architecture, ICA ) 或X-Windows,可以用于从远程计算机IIO操作办公室计算机150, 这些应当被理解为落在本发明保护范围内。
客户安全通道114与服务器安全通道120通信,并可以位于企业 隔离区(demilitarized zone, DMZ)防火墙117和企业第二层防火墙 127之间的公司DMZ中。服务器安全通道120经由不安全网络从客户 安全通道114接收数据包,解开RDP数据,以及将RDP数据发送到 路由器130。服务器安全通道120还将从路由器130接收的输出RDP 数据进行封装,并通过不安全的网络上将封装的数据发送到客户安全 通道114。
建立在客户安全通道114和服务器安全通道120之间的通道可以 通过安全套接层(Secure Sockets Layer, SSL )端口 443来建立,例如 大多数防火墙已采用的端口。 SSL端口的使用消除了用户配置防火墙 以适应本发明实施例的需要,由此降低了因公开公司网络而被外部攻 击的风险。
在本实施例中,服务器安全通道120通过安全政策管理器125可 以增强公司的安全政策。安全政策管理器125执行授权验证和通用网 络许可管理,例如,验证用户名/密码和/或用户名/访问令牌号码(token number)。源网际协议(Internet Protocol, IP )地址过滤和其它限制机 制也可以由安全政策管理器125实现。
本发明实施例的系统根据远程计算机110的位置可以采用各种安 全措施。例如,如果远程计算机110是安全网络的一部分、但位于不 同的办公室或不同地理位置,则可能仅需要登入/密码的结合就能访问
办公室计算机150。另一方面,如果远程计算机IIO在不同的网络上,
例如家用的计算机通过互联网要求访问,则可能需要额外的安全措施, 例如需要从安全令牌装置产生的安全令牌来实现访问。例如,安全令
牌装置为RSA公司的SecurID。
此外,安全政策管理器125可以在服务器安全通道120和公司安 全政策之间提供接口。能够与服务器安全通道120连接的安全政策的 一个例子是资产数据库,例如2004年12月29日提交的美国专利申请 11/025,871中所描述的资产数据库,在此引入该专利申请作为参考。 在从远程计算机IIO接收到连接请求时,服务器安全通道120可以查 询安全政策管理器125以确定是否在远程计算机IIO和服务器安全通 道120之间建立安全通道。
如果允许连接,安全政策管理器125还可以增强再验证/再授权, 例如如果远程计算机110没有在预定期间内发送数据(即超时条件)。 为增大安全性同时保持效率,可以根据客户的类型采用可变的超时条 件。例如,由可信的客户发起的进程可以在进程被终止之前允许延长 的空闲时间(例如4小时),而由不可信的客户(例如公共的商务中 心)发起的进程则被限制为较短的空闲时间(例如15分钟)。
服务器安全通道120通过企业第二层防火墙127与路由器130通 信。该第二层防火墙127被配置为允许经由一个预定端口在服务器安 全通道120和路由器130之间进行通信。
路由器130电连接远程进程到合适的办公室计算机150。路由器 130使办公室计算机能够通过经过企业第二层防火墙127的单个连接 访问服务器安全通道120。如果没有路由器130,每个办公室计算机 150将需要一个经过第二层防火墙127的连接,这会给网络的安全结 构带来明显的风险。
在建立与办公室计算机150的连接之前,路由器130通过查询台 式机许可管理135来确定是否允许办公室计算机150被远程访问。台 式机许可管理135可以简单为允许远程访问的办公室计算机的列表, 也可以是连接到之前描述的可以提供授权和验证的资产数据库的接
口。台式机许可管理135控制对特定办公室计算机的访问,也可以限 制特定用户对特定计算机的访问。
一旦允许上述连接,路由器130建立到办公室计算机150的连接。 办公室计算机150包括服务器显示模块155,例如上文所述为Windows XP专业版操作系统一部分的RDP模块。RDP模块使远程用户能够运 行办公室计算机150上的程序和打开文件,正如远程用户在办公室中 并操作办公室计算机150 —样。
在与办公室计算机150建立连接之后,带宽限制器140监视办公 室计算机150和远程计算机110之间的流量。通常,办公室计算机150 和远程计算机110之间的流量块包括显示器的更新。很多远程显示模 块只对例如当光标在显示器上移动时显示器上改变的部分更新进行发 送。只对显示器上改变的部分进行发送减少了必须发送到远程计算机 110的数据量,并降低了对公司网络带宽的压力。
当在办公室计算机150上启动新的应用程序或显示新的文件时, 整个屏幕发生改变,并且在短时间内发送的数据量增大,但在短时间 后又会降低。由于这些瞬间尖峰发生在很短的时间,并且不会突然发 生,因此网络通常能够以数据传送速率处理这些瞬间的尖峰。但是如 果远程计算机110从办公室计算机150观看视频文件,这时显示器的 大部分会持续改变,远程连接就会使用相当数量的可用网络带宽片段。 即使网络能够支持单个远程用户观看视频文件,但如果有100个远程 用户观看视频文件的话,则很多网络将会降低速度。
带宽限制器140监视每个远程计算机110和它相应的办公室计算 机150之间的流量。如果流量增大到预定阈值以上,带宽限制器150 启动计时器(图未示出)。如果流量在预定时间段内保持在预定阈值 以上,则带宽限制器140可以开始延迟数据包的发送。该延迟导致远 程计算机上显示的动作出现停动现象,由此警告该用户其使用了过量 的带宽。如果注意到进程的网络性能已回复到正常行为,带宽限制器 140可以去除上述限制(例如,转回到正常的#:作)。
作为附加的安全级别,本发明的实施例可以根据远程计算机110
的位置采用可变的安全访问。例如,如果远程计算机110位于相同的 安全网络中但位于不同的建筑物或区域中。
本发明的实施例包括计算机部件和计算机执行步骤,它们对于本 领域技术人员将显而易见的。为了说明的方便,这里没有对作为计算 机系统 一 部分的本发明的每个步骤或部件都进行描述,但本领域技术 人员可以知道每个步骤或部件都可以具有对应的计算机系统或软件部 件。因此,这样的计算4几系统或软件部件可以通过它们对应步骤或部 件(即它们的功能)的描述来实现,并且也落在本发明的保护范围之 内。
上文已描述了本发明的例示性实施例,对本领域技术人员来说, 在不离开本发明精神或范围的情况下,可以对本发明进行各种修改和
改进。因此,上述说明只是举例性的,而目的不在于限制本发明。因 此,只要是落在本申请的权利要求或其等同物的范围之内,本发明则 目的覆盖对本发明的这些所有修改和变化。
权利要求
1.一种系统,包括连接到第一网络的第一客户计算机;连接到第一网络的服务器,所述服务器包括第一通信模块;包括第二通信模块的第二客户计算机;和建立在所述第一通信模块和所述第二通信模块之间的通信通道,以通过所述服务器将所述第一客户计算机连接到所述第二客户计算机。
2. 如权利要求l所述的系统,其中所述第一网络包括用于路由从 所述第二客户计算机到所述第 一客户计算机进程的路由器。
3. 如权利要求2所述的系统,其中所述第一网络还包括位于所述服务器和所述第二客户计算机之间的第 一层防火墙;和 位于所述服务器和所述第 一客户计算机之间的第二层防火墙。
4. 如权利要求1所述的系统,其中所述第一网络包括带宽限制器, 所述带宽限制器用于监视和管理在所述第一客户计算机和所述第二客 户计算机之间的数据流动。
5. 如权利要求4所述的系统,其中所述带宽限制器包括计时器。
6. 如权利要求l所述的系统,其中所述第二客户计算机连接到第 二网络。
7. 如权利要求6所述的系统,其中所述第二网络是互联网。
8. 如权利要求6所述的系统,其中所述通信通道通过所述第一网 络和所述第二网络建立。
9. 如权利要求l所述的系统,其中所述第一通信模块和所述第二 通信^^块为Java应用程序。
10. 如权利要求l所述的系统,其中所述第一网络包括安全政策 管理器,所述安全政策管理器用于确定是否允许来自所述第二客户计 算机的连接请求。
11. 如权利要求IO所述的系统,其中所述安全政策管理器包括根 据所述第二客户计算机的位置而不同的授权级。
12. 如权利要求11所述的系统,其中如果所述第二客户计算机位 于所述第一网络上,第一授权级包括登入ID和密码。
13. 如权利要求11所述的系统,其中如果所述第二客户计算机位 于所述第二网络上,第二授权级包括登入ID、密码和安全令牌。
14. 如权利要求IO所述的系统,其中所述安全政策管理器包括用 于终止所述通信通道的可变超时条件。
15. 如权利要求14所述的系统,其中所述超时条件包括用于可信 客户的第 一 空闲时间和用于不可信客户的第二空闲时间,所述第 一 空闲时间长于所述第二空闲时间。
16. 如权利要求IO所述的系统,其中所述安全政策管理器包括资 产数据库。
17. 如权利要求l所述的系统,其中所述第一网络包括用于管理 对所述第 一 客户计算机的访问级别和许可的许可管理模块。
18. —种方法,包括以下步骤 在第一客户计算机和第一网络之间建立连接;在所述第一客户计算机和所述第一网络上的服务器之间建立连接^ 和通过所述服务器在所述第一客户计算机和所述第一网络上的第二 客户计算机之间建立连接。
19. 如权利要求18所述的方法,其中在所述第一客户计算机和所 述第一网络之间建立连接的步骤包括通过所述第一客户计算机和所述 服务器之间的第 一防火墙获得访问。
20. 如权利要求19所述的方法,其中在所述第一客户计算机和所 述第二客户计算机之间建立连接的步骤包括通过所述服务器和所述第 二客户计算机之间的第二防火墙获得访问。
21. 如权利要求18所述的方法,还包括以下步骤 监视所述第一客户计算机和所述第二客户计算机之间的数据流; 将所述数据流和一阈值进行比较;和如果比较所述数据流超过所述阈值,则限制所述数据流。
22. 如权利要求18所述的方法,其中所述第一客户计算机和所述 第 一 网络之间的连接是通过第二网络建立的。
23. 如权利要求22所述的方法,其中所述第二网络为互联网。
24. —种方法,包括以下步骤 访问第一客户计算机以连接到第一网络,和 登入所述第一网络上的服务器以打开一个进程;其中所述进程被路由到第二客户计算机以建立与所述第二客户计 算机的连接,使得通过所述第一客户计算机直接访问所述第二客户计 算机上的数据和/或应用程序。
25. 如权利要求24所述的方法,其中访问所述第一网络的步骤包 括通过所述第一客户计算机和所述服务器之间的第一防火墙获得访 问。
26. 如权利要求24所述的方法,其中路由所述进程到所述第二客 户计算机的步骤包括通过所述服务器和所述第二客户计算机之间的第 二防火墙获得访问。
27. 如权利要求24所述的方法,其中所述第一客户计算机和所述 第二客户计算机之间的数据流被监视且和一阈值进行比较,如果比较所述数据流超过了所述阈值,则限制所述数据流。
28. 如权利要求24所述的方法,其中所述第一客户计算机通过第 二网络连接到所述第一网络。
29. 如权利要求28所述的方法,其中所述第二网络为互联网。
30. —种计算机程序产品,包括 用于在第一客户计算机上执行的客户通信模块;和用于在连接到第 一 网络的服务器上执行的服务器通信模块,其中当执行所述客户通信模块和所述服务器通信模块时,通过所述服务器在所述第一客户计算机和所述第一网络上的第二客户计算机之间建立通4言通道。
31. 如权利要求30所述的计算机程序产品,其中所述客户通信模 块包括被执行用于封装将被传送到所述服务器通信模块的数据的指令。
32. 如权利要求30所述的计算机程序产品,其中所述客户通信模 块包括被执行用于解开从所述服务器通信模块接收的数据包的指令。
33. 如权利要求30所述的计算机程序产品,其中所述服务器通信 模块包括安全政策模块,所述安全政策模块用于确定是否允许来自所 述客户通信模块的连接请求。
34. 如权利要求30所述的计算机程序产品,其中所述安全政策模 块包括用于终止所述通信通道的可变超时条件。
35. 如权利要求34所述的计算机程序产品,其中所述超时条件包 括用于可信客户的第 一 空闲时间和用于不可信客户的第二空闲时间, 所述第 一 空闲时间长于所述第二空闲时间。
36. 如权利要求30所述的计算机程序产品,其中所述客户通信模 块包括被执行用于促成通过所述第一客户计算机和所述服务器之间的 第 一 防火墙进行访问的指令。
37. 如权利要求36所述的计算机程序产品,其中所述服务器通信 模块包括被执行用于促成通过所述服务器和所述第二客户计算机之间 的第二防火墙进行访问的指令。
38. 如权利要求30所述的计算机程序产品,其中所述客户通信模 块和所述服务器通信模块为Java应用程序。
39. 如权利要求30所述的计算机程序产品,还包括带宽限制器模 块,所述带宽限制器模块被执行用于监视所述第一客户计算机和所述 第二客户计算机之间的数据流,将所述数据流和一阈值进行比较,以及如果比较所述数据流超过所述阈值限制所述数据流。
全文摘要
一种安全远程访问系统包括安装在便携式计算机(110)上的客户软件(114),客户软件(114)通过一个安全通道与安装在公司内部网络DMZ中的一个服务器上的对应服务器软件(120)建立远程进程。该DMZ服务器连接到位于企业第二层防火墙(127)后面的路由器(130)。如果台式计算机允许远程访问,路由器(130)将上述远程进程路由到适合的台式计算机(150)。可以配置带宽限制器(140)以平衡通过路由器(130)的载荷。
文档编号G06K9/00GK101361082SQ200680047392
公开日2009年2月4日 申请日期2006年12月14日 优先权日2005年12月15日
发明者哈里·戈帕尔克里什南, 拉夫曼·阿齐兹 申请人:雷曼兄弟有限公司