區段化終端機系統與方法

2023-09-16 06:54:30

專利名稱：區段化終端機系統與方法
技術領域：
本發明涉及一種區段化終端機系統與方法，尤其指利用過濾RDP封包的 區段化終端機系統與方法。
背景技術：
由於病毒或駭客摧毀電腦所造成的威脅有越來越嚴重的趨勢，企業對於 功能更強大的防毒軟體或防火牆機制的需求也越來越迫切。 一般而言， 一個 需要作好防毒和防駭客措施的網絡架構可以分成以下三個不同的階層
第 一層網絡(SMTP )網關(Internet Gateways )
第二層伺服器(信息、應用、檔案、列印等伺服器)
第三層客戶端(臺式及筆記型電腦)
理論上來說，如果能確保第一層的安全，那麼病毒就無法進入組織內， 對第二和第三層的保護也就沒有必要了 。
第一層的防護應當包括兩個元件基於規則的政策執行(rules-based policy enforcement)以及病毒的掃4苗。
通過執行規則，可以根據已知的內容(例如電子郵件主旨欄上的I LOVE YOU)或是在防毒軟體製造商發布病毒碼之前，通過建立規則來防堵病毒。 此外，我們也可以利用規則來找出一些可能被誤以為是"鬧劇"的老舊病毒。 如一些防病毒廠商把"COKEGIF.EXE"病毒歸於鬧劇/誤報一類，其防毒引擎 不再將附有這些病毒檔案的email攔截了。
有了第 一層的病毒防護，各個公司組織只要在一兩個網關上替整個公司 捕捉和攔截病毒就可以了。 一旦病毒通過了網關，公司就必須依靠伺服器代 理程序(server agents)對眾多的伺服器進行掃描和修復，而不再只是處理一 個網關。倘若由於某種原因病毒穿透了伺服器層，那就必須依靠用戶端這一 層的防毒軟體，這可能會影響到成千上萬的節點(nodes)。顯然的，立即在第
一層阻止病毒是最有效的解決方法。
然而，現實生活中病毒感染或駭客入侵有多種渠道，往往都是發現病毒 感染或駭客入侵之後才發覺原來還有漏洞存在，如果永遠只是依靠過濾所有 的封包來防範病毒感染或駭客入侵的話，那麼對廣大的用戶端來說還是有極 高的風險存在。
除此之外，伴隨著企業在全球化的發展，在其信息架構的布局也成為這 幾年來企業信息發展的重點之一。然而，在各分公司之間的遠距信息應用上，
^t式的信息架構常面臨下列挑戰
1. 信息安全。
2. 頻寬需求大與系統效能不佳。
3. 系統缺乏擴充彈性。
4. 用戶端的信息維護成本高，例如軟體派送、前端用戶服務等。 正是上述的挑戰，使得集中式的信息應用架構(即終端機系統)又再度
受到各大企業的青睞。
終端機系統除了有以上的好處外，基於本身具有的集中性也能完全地防 範病毒感染或駭客入侵。這是因為，在終端機系統中，所有扮演終端機角色 的終端才幾電腦(即採用如Windows XP終端枳一莫式的個人電腦)可連線至終端 機伺服器，並只通過終端機伺服器收取電子郵件、下載檔案、執行檔案等等。 如此一來，萬一有病毒感染或駭客入侵時，也只會發生在終端機伺服器中。
只是，在傳統終端機系統中，雖然最初病毒或駭客只感染或入侵終端機 伺服器，但終究還是會通過終端機伺服器擴散至所有的電腦裝置。

發明內容
本發明主要目的在於提供一種區段化終端機系統與方法，利用只允許遠 端數據協議RDP的封包通過，而分隔出區域網絡的內部區段與外部區段，進 而避免外部區段被病毒感染或駭客入侵時，影響擴散到區域網絡中所有的電 腦裝置。
基於上述目的，本發明區段化終端機系統與方法包括區段化模塊、終端
機伺服器、終端機電腦。區段化模塊是利用只允許遠端數據協議RDP的封包 通過，而分隔出區域網絡的內部區段與外部區段。終端機伺服器設置在區域 網絡中的外部區段，並可基於遠端數據協議的控制命令封包，取得和/或顯示 對應的要求數據。要求數據是回應控制命令封包的結果。終端機電腦設置在 區域網絡中的內部區段，並可基於遠端數據協議穿過區段化模塊並向終端機 伺服器發出控制命令封包，以及基於遠端數據協議接收和/或顯示屬於影像的 要求數據。
與現有技術相比，本發明具有以下優點
本發明區段化終端機系統與方法，利用只允許遠端數據協議RDP的封包 通過，而分隔出區域網絡的內部區段與外部區段，進而避免外部區段被病毒 感染或駭客入侵時，影響擴散到區域網絡中所有的電腦裝置，從而達到完全 阻止駭客或病毒危害的目的。


圖1為本發明區段化終端機系統的第一實施例示意圖2為本發明區段化終端機系統的第二實施例示意圖3為本發明區段化終端機系統的第三實施例示意圖4為本發明區段化終端機系統的第四實施例示意圖。
主要元件符號說明如下
10 區域網絡
10a內部區段
10b外部區賴
12 區段化模塊
14終端機伺服器
16a、 16b終端才幾電腦
18a郵件伺服器
18b網頁伺服器
20數據儲存裝置 22路由器
24地址轉換模塊
26遠端終端機
具體實施例方式
參照圖1，圖1為本發明區段化終端機系統的第一實施例示意圖。如圖1 所示，本發明區段化終端機系統主要由區段化模塊12、終端機伺服器14、終 端機電腦16a、 16b所組成。終端機伺服器14、終端機電腦16a、 16b仍和現 有技術運作模式相同，只是在這二者之間額外增加了區段化模塊12。區段化 模塊12、終端機伺服器14、終端機電腦16a、 16b仍存在於區域網絡IO之中， 並通過路由器22連接至網際網絡。
簡而言之，為了避免已遭到病毒感染或駭客入侵的終端機伺服器14，會 危及到同樣在區域網絡10中的終端機電腦16a、 16b，在本發明系統中的區段 化模塊12可利用只允許遠端數據協議RDP的封包通過，進而分隔出區域網 絡10的內部區段10a與外部區段10b,並因過濾封包的關係將可能危害終端 機電腦16a、 16b的所有封包全部都擋在外部區段10b之中。換言之，在終端 機伺服器14、終端機電腦16a、 16b所架構出的終端機系統中，因額外具有區 段化模塊12的關係，使得在本發明系統中還能從終端機伺服器14或網際網 絡，穿過區段化模塊12併到達終端機電腦16a、 16b的封包，也只剩下無害 的RDP的封包(例如圖形影像)，從而達到完全阻止駭客或病毒危害的目的。
本發明區段化終端機系統中，若位於內部區段10a中的終端機電腦16a 需要存取網際網絡上的資源時，終端機電腦16a的封包必須先穿過區段化模 塊12，並通過位於外部區段10b中的終端機伺服器14取得、顯示所需的數據。 在此架構下，由於終端機電腦16a所作的操作實際上仍在終端機伺服器14上 進行，就算無意之間執行了含有病毒的程序，也只會破壞終端機伺服器14。 若再配合還原技術，將尚未中毒前的狀態還原回來，就能快速地拯救終端機 伺服器14，讓整個系統恢復正常工作。
舉例來說，若終端機電腦16a向終端機伺服器14發出遠端數據協議RDP
的控制命令封包(例如瀏覽某個網站的網頁)，終端機伺服器14將可基於此 控制命令封包，取得對應的網頁內容的要求數據，並為了回應此控制命令封 包的結杲顯示此網頁內容，同時基於終端機系統現有的運作模式，會讓終端 機電腦16a基於遠端數據協議接收和/或顯示屬於影像的要求數據(即網頁內 容)。
上述控制命令封包主要是通過終端機電腦16a、 16b所屬的鍵盤和/或滑鼠 產生，並且通過終端機電腦16a、 16b所屬的顯示器顯示屬於影像的要求數據。
為了讓所有的數據能被集中管理，並且確保不會因終端機伺服器14遭到 病毒感染或是駭客入侵而破壞其所儲存的數據，在本發明區段化終端機系統 中特別針對數據儲存的部分有創新的設計。
參照圖2，圖2為本發明區段化終端機系統的第二實施例示意圖。如圖2 所示，本發明區段化終端機系統主要還是由區段化模塊12、終端機伺服器14、 終端機電腦16a、 16b所組成，但額外在內部區段10a、外部區段10b之間設 置了數據儲存裝置20。至於終端機伺服器14、終端機電腦16a、 16b仍和現 有技術運作模式相同，只是在這二者之間額外增加了區段化模塊12。區段化 模塊12、終端機伺服器14、終端機電腦16a、 16b仍存在於區域網絡IO之中， 並通過路由器22連接至網際網絡。
具體來說，上述數據儲存裝置20主要用來儲存多組檔案數據，且在不通 過區段化模塊12的情況下，直接接受來自終端機伺服器14和/或終端機電腦 16a、 16b的檔案存取要求，並且為回應檔案存取要求而處理檔案數據。來自 終端機伺服器14、終端機電腦16a、 16b的檔案存取要求可為讀取和/或寫入 檔案數據。若配合圖3所示的遠端終端機26,使用者便可方便地從外部網絡 存取在區域網絡10中已授權數據或在區域網絡10中進行已授權的操作。
參照圖3，圖3為本發明區段化終端機系統的第三實施例示意圖。如圖3 所示，本發明區段化終端機系統主要還是由區段化模塊12、終端機伺服器14、 終端機電腦16a、 16b、數據儲存裝置20所組成，但額外在外部區段10b設置 了服務伺服器(例如郵件伺服器18a、網頁伺服器18b、或提供檔案傳輸服務、 其他多位服務的伺服器)。至於終端機伺服器14、終端機電腦16a、 16b仍和
現有技術運作模式相同，只是在這二者之間額外增加了區段化模塊12。區段 化模塊12、終端機伺服器14、終端機電腦16a、 16b、郵件伺服器18a、網頁 伺服器18b仍存在於區域網絡10中，並通過路由器22連接至網際網絡。
上述服務伺服器所提供的預定服務功能，均只通過終端機伺服器14提供 預定服務功能，或者如一般情況下直接被連接並使用其所提供的服務。當通 過終端機伺服器14使用郵件伺服器18a、網頁伺服器18b所提供的服務時， 使用者可利用區域網絡10的終端機電腦16a、 16b、或利用穿過網際網絡的遠 端終端機26登入終端機伺服器14,然後再由終端機伺服器14收取電子郵件 或瀏覽網頁。在此情況下，所有執行、開啟檔案均實際在終端機伺服器14上 進行，避免讀取電子郵件或瀏覽網頁時無意之間，使終端機電腦16a、 16b、 遠端終端機26連帶中毒。
若配合先前所提到的數據儲存裝置20,遠端終端機26還可通過終端機伺 服器14存取儲存在數據儲存裝置20中的數據，讓使用者不但可從內部的區 域網絡10存取公開或私有(經授權)的數據，還可從網際網絡中的遠端終端 機26存取公開或私有(經授權)的數據。
不過，為了避免使用者利用數據儲存裝置20洩漏內部機密數據，對來自 終端機電腦16a、 16b的檔案存取要求僅可為讀取檔案數據。如此一來，使用 者就無法先將機密數據儲存至數據儲存裝置20之中，再通過如圖3所示的遠 端終端機26,由外部再將此機密數據取走。
在此架構中，遠端終端機26除了可以使用郵件伺服器18a、網頁伺服器 18b所提供的服務以外，還可通過網際網絡合法登入至終端機伺服器14之後， 通過終端機伺服器14存取特定終端機電腦16a、 16b所儲存的數據，即終端 機電腦16a、 16b成為如同伺服器般接受登入。
此外，面對越來越普及的防火牆機制的網絡系統，終端機系統會在應用 上受到阻礙。這是因為，終端機系統中的遠端終端機26本身缺乏網絡通信能 力(例如沒有IP位址)、運算處理能力，使得傳統上由於終端機無法提供足夠 多的數據作識別，使得防火牆裝置沒有辦法識別終端機是否為合法用戶，若 是面對更高階的防火牆機制，終端機也將因為缺乏運算處理能力而無法通過
防火牆機制的驗證。
參照圖4，圖4為本發明區^史化終端;f幾系統的第四實施例示意圖。如圖4 所示，本發明區段化終端機系統主要還是由區段化模塊12、終端機伺服器14、 終端機電腦16a、 16b、數據儲存裝置20、服務伺服器(例如郵件伺服器18a、 網頁伺服器18b、或提供檔案傳輸服務、其他多位服務的伺服器)所組成，但 額外在外部區段10b設置了數據轉換模塊24(通常被整合在防火牆裝置之中)。 至於終端機伺服器14、終端機電腦16a、 16b仍和現有技術運作模式相同，只 是在這二者之間額外增加了區段化模塊12。區段化模塊12、終端機伺服器14、 終端機電腦16a、 16b、郵件伺服器18a、網頁伺服器18b仍存在於區域網絡 IO之中，並通過路由器22連接至網際網絡。
為了讓終端機系統仍被應用在具有防火牆機制中，在本發明系統中的地 址轉換模塊24中作了一些調整，即僅在驗證遠端終端機26的識別數據為合 法後，才允許遠端終端機26穿透防火牆機制而對區域網絡10中的其中一裝 置進行遠端操作。換句話說，為了持續驗證來自網際網絡的封包，遠端終端 機26與已被事先允許存取的區域網絡10中的其中一裝置，這中間所有傳遞 的命令、顯示封包等均必須通過地址轉換模塊24進行傳送。
i旦在有多臺遠端終端機26需要存取終端機伺服器14、終端才幾電腦16a、 16b、郵件伺服器18a、網頁伺服器18b等的情況下，由於地址轉換模塊24無 法確認所接收的封包屬於哪一臺遠端終端機26,也無法確定哪一臺遠端終端 機26已被允許存取哪一臺裝置，因此地址轉換模塊24還需要分析封包是通 過哪個通信埠 ( port)傳來的、以及對應表。此對應表中每組數據均至少包 含通信埠 (Port)、以及通信埠所對應的電腦裝置的IP位址。
舉例來說，若遠端終端機26需要登入郵件伺服器18a時，遠端終端機26 需提供可用來識別的識別數據(例如裝置代碼或其所屬網卡的MAC地址)， 並且為了讓地址轉換模塊24知道此連線要求的是來自遠端終端機26，因此遠 端終端機26所有的封包均必須通過特定通信埠 3328進行傳送。當地址轉 換模塊24收到通過通信埠 3328傳來的封包(例如收取郵件伺服器18a 中的郵件)後，可利用對照表除了得知是來自遠端終端機26以外，更會知道
此存取封包是要傳給郵件伺服器18a的。等郵件伺服器18a實際完成所要求的 遠端操作(開啟郵件)後，對應的顯示封包則需再次通過地址轉換模塊24回 應給遠端終端機26，讓使用者從其所屬顯示屏幕看到此郵件內容。
以上公開的僅為本發明的幾個具體實施例，但是，本發明並非局限於此, 任何本領域的技術人員能思之的變化都應落入本發明的保護範圍。
權利要求
1.一種區段化終端機系統，其特徵在於，該區段化終端機系統包括一區段化模塊，利用只允許一遠端數據協議RDP的封包通過，而分隔出一區域網絡的一內部區段與一外部區段；一終端機伺服器，設置在該區域網絡中的該外部區段，並基於該遠端數據協議的一控制命令封包，取得和/或顯示對應的一要求數據，該要求數據是回應該控制命令封包的結果；以及一終端機電腦，設置在該區域網絡中的該內部區段，並可基於該遠端數據協議穿過該區段化模塊並向該終端機伺服器發出該控制命令封包，以及基於該遠端數據協議接收和/或顯示屬於影像的該要求數據。
2. 如權利要求1所述的區段化終端機系統，其特徵在於，通過該終端機電 腦所屬的一鍵盤和/或滑鼠產生該控制命令封包，以及通過該終端機電腦所屬 的一顯示器顯示屬於影像的該要求數據。
3. 如權利要求1所述的區段化終端機系統，其特徵在於，該區段化終端機 系統進一步包括一數據儲存裝置，儲存多組檔案數據，且在不通過該區段化模塊的情況 下，直接接受來自該終端機伺服器和/或該終端機電腦的一檔案存取要求，並 且為回應該檔案存取要求而處理該檔案數據。
4. 如權利要求3所述的區段化終端機系統，其特徵在於，來自該終端機伺 服器、該終端機電腦的該檔案存取要求為讀取和/或寫入該檔案數據。
5. 如權利要求3所述的區段化終端機系統，其特徵在於，來自該終端機電 腦的該檔案存取要求僅為讀取該檔案數據。
6. 如權利要求1所述的區段化終端機系統，其特徵在於，該區段化終端機 系統進一步包括一服務伺服器，設置在該區域網絡中的該外部區段，並具有一預定服務 功能，且僅通過該終端機伺服器提供該預定服務功能。
7. 如權利要求6所述的區段化終端機系統，其特徵在於，該區段化終端機 系統進一步包括 一遠端終端機，通過一網際網絡合法登入至該終端機伺服器，並通過該 終端機伺服器使用該服務伺服器所提供的該預定服務功能和/或存取該終端機 電腦所儲存的數據。
8. 如權利要求6所述的區段化終端機系統，其特徵在於，該預定服務功能 可為一網頁存取服務、 一電子郵件服務或一檔案傳輸服務。
9. 如權利要求6所述的區段化終端機系統，其特徵在於，該區段化終端機 系統進一步包括一遠端終端機，具有可用來辨識的一識別數據，並可針對該終端機伺服 器和該服務伺服器其中之一進行一遠端操作；以及一i也址4爭換才莫塊，用以在-驗i正該識別凝j居為合法後，允i午該遠端終端才幾 穿透防火牆機制而對該終端機伺服器和該服務伺服器其中之一進行該遠端操作。
10. 如權利要求9所述的區段化終端機系統，其特徵在於，該識別數據為 該遠端終端機的一裝置代碼或其所屬網卡的一媒體接入控制MAC地址。
11. 如權利要求9所述的區段化終端機系統，其特徵在於，若該遠端終端 機為多臺時，該地址轉換模塊利用每一遠端終端機在通信時所採用的一通信 埠 Port作區分。
12. 如權利要求9所述的區段化終端機系統，其特徵在於，該地址轉換模 塊進一步包括一對應表，該對應表中每組數據均至少包括一通信埠 Port、 以及該通信埠所對應的該終端機伺服器、該服務伺服器、該終端機電腦的 一 IP位址。
13. —種區段化終端機方法，其特徵在於，該區段化終端機方法包括只允許一遠端數據協議RDP的封包通過，而分隔出一區域網絡的一內部 區段與一外部區段；設置一終端機伺服器在該區域網絡中的該外部區段；設置一終端機電腦在該區域網絡中的該內部區段；通過該終端機電腦以該遠端數據協議向該終端機伺服器發出一控制命令 封包；使該終端機伺服器基於該遠端數據協議的該控制命令封包，取得和/或顯示對應的一要求數據，該要求數據回應該控制命令封包的結果；以及通過該終端機電腦以該遠端數據協議接收和/或顯示屬於影像的該要求數據。
14. 如權利要求13所述的區段化終端機方法，其特徵在於，通過該終端機 電腦所屬的一鍵盤或滑鼠產生該控制命令封包，以及通過該終端機電腦所屬 的 一顯示器顯示屬於影像的該要求數據。
15. 如權利要求13所述區段化終端機方法，其特徵在於，該區段化終端機 方法進一步包括設置一數據儲存裝置，該數據儲存裝置儲存多組檔案數據，且直接接受 來自該終端機伺服器和/或該終端機電腦的一檔案存取要求，並為回應該檔案 存取要求而處理該檔案數據。
16. 如權利要求15所述的區段化終端機方法，其特徵在於，來自該終端機 伺服器、該終端機電腦的該檔案存取要求為讀取和/或寫入該檔案數據。
17. 如權利要求15所述的區段化終端機方法，其特徵在於，來自該終端機 電腦的該檔案存取要求僅為讀取該檔案數據。
18. 如權利要求13所述的區段化終端機方法，其特徵在於，該區段化終端 機方法進一步包括設置一服務伺服器在該區域網絡中的該外部區段，該服務伺服器具有一 預定服務功能，且僅通過該終端機伺服器提供該預定服務功能。
19. 如權利要求18所述的區段化終端機方法，其特徵在於，該區段化終端 才幾方法進一步包括設置一遠端終端機，該遠端終端機通過一網際網絡合法登入至該終端機 伺服器，並通過該終端機伺服器使用該服務伺服器所提供的該預定服務功能 和/或存取該終端機電腦所儲存的數據。
20. 如權利要求18所述的區段化終端機方法，其特徵在於，該預定服務功 能為一網頁存取服務、 一電子郵件服務或一檔案傳輸服務。
21. 如權利要求18項所述的區段化終端機方法，其特徵在於，該區段化終端機方法進一步包括設置一遠端終端機，該遠端終端機具有用來辨識的一識別數據，並針對該終端機伺服器和該服務伺服器其中之一進行一遠端梯:作；以及在-瞼證該識別數據為合法後，允許該遠端終端才幾穿透防火牆才幾制對該終端機伺服器和該服務伺服器其中之一進行該遠端操作。
22. 如權利要求21所述的區段化終端機方法，其特徵在於，該識別數據為 該遠端終端機的一裝置代碼或其所屬網卡的一MAC地址。
23. 如權利要求21所述的區段化終端機方法，其特徵在於，該遠端終端機 為多臺時，該地址轉換模塊利用每一遠端終端機在通信時所採用的一通信端 口 Port作區分。
24. 如權利要求21所述的區段化終端機方法，其特徵在於，該地址轉換模 塊進一步包括一對應表，該對應表中每組數據均至少包括一通信埠 Port， 以及該通訊埠所對應的該遠端終端機伺服器、該服務伺服器、該遠端終端 才幾電腦的一IPi也址。
全文摘要
本發明公開了一種區段化終端機系統與方法，主要是利用區段化模塊只允許遠端數據協議(remote data protocol，RDP)的封包通過，而分隔出區域網絡的內部區段與外部區段。在區域網絡的外部區段中設置終端機伺服器，另在內部區段中設置終端機電腦。在此區域網絡中，終端機電腦必須穿過區段化模塊並通過終端機伺服器取得、顯示所需的數據，但由於終端機電腦所做的操作實際上仍在終端機伺服器上進行，並且能穿過區段化模塊併到達終端機電腦的封包也只有無害的RDP的封包，從而達到完全阻止駭客或病毒危害的目的。
文檔編號H04L29/06GK101170548SQ20061015009
公開日2008年4月30日 申請日期2006年10月27日 優先權日2006年10月27日
發明者梁國恩 申請人:梁國恩