专利名称:用于离散设备管理的控制防火墙渗透的制作方法
发明的领域本发明通常涉及计算机网络应用。更特别地,本发明涉及通过防火墙的设备的控制。
背景防火墙被典型地用于控制从在互联网上的外部用户访问例如局域网或内联网的网络。防火墙监测在互联网和保护网络之间的冲突,来防止黑客或其它恶意用户的未授权的登录。代替防火墙,每个在被保护网络上的主机将不得不警戒这样的登录。由于仅仅一台具有简单选择密码的主机就会在这种情况下危害整个网络,因此防火墙提供了集中的安全解决,以缓解每个主机的监管。
网络防火墙以多种方式来提供安全。例如,在包过滤模式中,输入的和输出的包可以被检查,使得不符合的包可以被移除。可选择的,代理服务器可以被用于防止在保护网络的主机和互联网上的外部用户之间的任意的直接连接。
不管防火墙以怎样的方式提供安全以保护网络,在外部用户必须与设备或在保护网络中的主机通讯的情况下发生。例如,用户可能希望通过设备制造商来支持他们的网络设备。为了获得对这些设备的电子访问,制造商必须通过网络防火墙。例如,端口可以保留在防火墙中,以在虚拟个人网络(VPN)中提供允许外部用户来渗透防火墙。但是保留这样一个端口,即使在VPN的安全下,允许访问保护网络的确定的和复杂的外部装置。
因而,现有技术需要改进的不要求专门打开防火墙的端口的防火墙渗透技术。
简要说明根据本发明的一个方面,提供了一种管理在网络中的设备的方法,其具有连接到防火墙的第一侧的设备服务器,连接到防火墙的第二侧的网络服务器。该方法包括以下动作发布来自设备服务器的HTTP请求到由网络服务器服务的URL,来指示设备寻找服务;响应设备寻找服务的指示,改变在由网络服务器服务的URL上的内容;发布来自用户的网络浏览器的HTTP请求,来下载指示服务器被请求的改变的内容;发布来自用户的网络浏览器的HTIP请求,来指示到该设备的命令;响应指示命令的HTTP请求,改变在由网络服务器服务的URL上的内容;发布来自设备服务器的HTTP请求,来下载指示到该设备的命令的改变内容;解释指示到该设备的命令的改变内容;以及因而命令该设备。
根据本发明的另一个方面,提供了一种在具有设备服务器的防火墙保护网络中管理设备的方法。该方法包括以下动作响应来自设备服务器的指示在防火墙保护网络中的设备要求服务的HTTP请求,来改变在由网络服务器服务的URL上的内容;以及改变在由网络服务器服务的URL上内容,来指示用户已经响应该设备要求服务的指示。
根据本发明的另一个方面,提供了一种网络服务器,被配置为执行以下动作响应来自设备服务器的指示设备寻找服务的HTTP请求,改变在由网络服务器服务的URL上的内容;以及响应来自用户的网络浏览器的指示到设备的命令的HTTP请求,改变在由网络服务器服务的URL上的内容;由此,如果设备服务器下载指示命令的改变的内容到该设备,该改变的内容被解释,因而命令该设备。
附图的简要说明附
图1是根据本发明的一个实施例的被配置为实现设备的远程控制的系统的方框图。
附图2是示出了根据本发明的实施例的设备的远程控制方法的流程图。
附图3是根据本发明的实施例的被配置为实现设备的远程控制的系统的方框图。
详细说明如在前论述的,防火墙可以以多种方式来实现,例如包过滤或代理服务器。不管防火墙怎样被实现,都典型地支持TCP/IP插口,使得用户可以浏览互联网。为了避免提供专用的端口给外部用户带来的固有风险,本发明通过使能通过TCP/IP插口而由防火墙保护的设备的远程控制和配置,来开发这些TCP/IP插口的有效使用率。现在转向附图,在附图1中示出了典型的局域网(LAN)100通过防火墙105连接到互联网101。在这个实施例中,防火墙105利用LAN服务器/路由器110来实现。然而,应该重视的是,关于支持传统的TCP/IP插口的任何的防火墙,在此公开的防火墙保护设备的远程控制和配置都可以被实现。此外,本发明可以被实现以用于由防火墙保护的任何网络。
LAN服务器(同样可以作为路由器操作)110作为“单向”阀门的类型而起作用,其中超文本传输协议(HTTP)请求仅仅是从LAN100被传输到互联网。LAN服务器110阻止来源于互联网并将被发送到在LAN100中的设备的HTTP请求。在这种形式下,“黑客”不能浏览在LAN100中的URL(统一资源定位符)上的网页,并不能改变或破坏它们的内容。然而,在LAN100上的用户可以仍然以普通的方式浏览外部网页或“网上冲浪”。如现有技术中已知的,HTTP通过在TCP/IP插口间交换信息来操作。在LAN100中的客户设备120,启动TCP/IP插口的开放,可以通过路由器110来发送HTTP请求130到被配置为收听来自该TCP/IP插口的信息的互联网上的网络服务器140。反过来,网络服务器140可以响应到客户设备120的HTTP响应150。任何HTTP请求,例如请求130,采取多种不同请求方法的方式,该请求是到网络服务器140的命令。例如,一种方法作为GET请求来表示,其是一种在请求的URL上检索内容的基本方法。另一种形式作为POST请求来表示,其上载例如涉及在超文本标记语言(HTML)填充的数据。响应GET请求,网络服务器140以通用网际邮件扩充(MIME)压缩文件来编码,其作为HTTP请求150通过TCP/IP插口而返回。
可以理解的是,详细描述的关于来自客户设备120的HTTP请求130和来自网络服务器140的相应HTTP响应150的客户/服务器交换是公知的并被广泛地应用。然而,在本发明中,这种客户/服务器交换被开发以允许防火墙105外部的远程用户150来管理和控制客户设备120。为了提供这种能力,网络服务器140被配置为动态改变存储在由来自客户设备120的HTTP请求130访问的URL中的内容。例如,网络服务器140可以接收指示客户设备120寻找来自用户150的服务的HTTP请求130。这个服务请求可以采取任意多种形式。例如,客户设备120可以简单地核查是否最新的软件下载是可行的。可选择地,客户设备120可能出故障,以致于服务请求寻找来自用户150的分析和修正。不管生成的服务请求的特殊类型如何,网络服务器140然后就动态改变在相应的URL或另一个URL上的内容,来表示客户设备120寻找服务的事实和被寻找的服务的类型。
用户150周期性地发布它自己的HTTP请求160到URL,其内容被改变来核查是否客户设备120在寻找服务。响应HTTP请求160,网络服务器140动态改变存储在由来自客户设备120的并发HTTP请求130访问的URL中的内容。以这种方式,客户设备120可以首先访问它的URL来请求服务,接着周期性地核查这个URL或可选择的URLs,来查看用户150是否已经响应。用户150的响应可以动态改变由LAN服务器110核查的URL的内容。服务器110被配置为解释这种改变的内容来执行客户设备120上希望的动作,例如,返回包括关于客户设备120的状态的信息的HTTP请求130到网络服务器140。
这种远程控制和客户设备120的配置处理可以在附图2所示的相关流程图中说明。在步骤200,LAN服务器110发送HTTP请求130到网络服务器140,指示客户设备120寻找服务。响应这个服务请求,在步骤205,网络服务器140在适当的URL上改变内容。在步骤210,该用户现在必须读取这个改变的内容,通过发布HTTP请求160到适当的URL,来下载在内容中的改变。在步骤215,读取了指示服务请求正在等待解决的下载内容,该用户可以发布HTTP请求160到网络服务器140,以在适当的URL上改变内容。在步骤220,LAN服务器110发布HTTP请求130来下载由用户改变的内容。在步骤225,LAN服务器110解释该下载的内容并因而控制客户设备120。
注意用于客户设备120的远程控制的本技术的优点,没有例如VPN入口的通过防火墙105的入口需要保留,以允许HTTP请求从用户150流动到LAN服务器110。替代地,用户150和LAN服务器110都仅仅从由网络服务器140服务的适当的URLs下载内容。以这种方式,在客户设备120和用户150之间的数据冲突与如果在LAN100中的用户是网络浏览时将会发生的没有区别。一旦客户设备120已经被适当地控制,支持这种数据冲突的TCP/IP插口可以被关闭,因此消除了任何潜在的安全威胁。此外,由在客户设备120和用户159之间的数据冲突引起的威胁在一定范围内被限制,因为数据冲突通过网络服务器140而发生,其是一种已知的到LAN服务器110的服务器。作为另一种安全估量,LAN服务器110可以被配置为在服务请求开始之前警告系统管理员,以使得系统管理员可以接着在任何时候停止在设备120和用户150之间的通讯。
那些本领域的普通技术人员会意识到,用于通过防火墙来远程控制设备的上述技术可以以多种形式来实现。现在转到附图3,描述了一种基于Java服务器主页(基于JSP)的实施例。如关于附图1所描述的,LAN服务器110通过防火墙105连接客户设备120到网络服务器140。为了清楚的描述,没有描述LAN100或互联网101。防火墙105为了象征性的目的而被示出,因为它通过LAN服务器110提供的过滤而实现,其阻止了来自外部设备的输入的HTTP请求。然而,LAN服务器110不支持使用访问TCP/IP插口的互联网信息支持应用305的普通的网页浏览,以允许输出的HTTP请求130和输入的HTTP响应150,如附图1所描述的。输入的HTTP响应允许LAN服务器110从网络服务器140下载改变的内容。尽管这种改变的内容可能以HTML来表示,而由LAN服务器110访问的URL(s)构成了普通的网页,HTML仅仅使用预定义的标签来描述它的网页的内容。然而,扩展标记语言(XML)允许发展常规标签来更好地表示发布到客户设备120的命令,以及用户150寻找的信息。因此,使用XML的HTTP响应150提供了更好定义的结构来传递命令到LAN服务器110。使用XML的相似的HTTP请求120同样提供了更好定义的结构来传递数据,响应到网络服务器140的这些命令。然而,可以理解的,通用标记语言标准(SGML)的其他类型可以被用来定义HTTP请求130和HTTP响应150的格式。
不管被用于构成HTTP请求130和HTTP响应150的特定格式如何,LAN服务器110包括设备管理应用310,其被配置为解释HTTP响应为适当的命令给客户设备120。相似的,设备管理应用310被配置为解释响应这些命令的来自客户设备120的数据为适当的被用于HTTP响应150的特定格式。应用程序接口(API)315定位在客户设备120和服务器110之间的连接。在设备120和服务器110之间的通讯可以是基于TCP/IP的或利用任何其他适合的格式来实现,包括例如RS-232连接的串行连接。
网络服务器140包括类似于LAN服务器110的应用305的信息连接应用320。为了提供安全性,网络应用330可以被包括以处理任何LAN服务器110和用户150的希望的认证。如在前描述的,网络服务器140被配置为动态改变存储在URL中的内容,响应来自用户150和LAN服务器110的HTTP请求。这种内容的动态控制可以以多种方式实现,例如通过动态服务器主页或Java服务器主页。在附图3所描述的实施例中,网络服务器用户150利用Java服务器主页(JSPs)来执行内容的动态控制。Java服务器主页可以被用作为客户JSP340来通过网络浏览器325与个人用户150相互作用。可选择的,个人用户不需要涉及远程控制客户设备120。例如,自动客户160可以与信息JSP350通讯来远程控制客户设备120。
如上所述,XML提供了一种用于传输命令和响应到网络服务器140的命令的HTTP请求的传统的格式。明显地,网络服务器140提供了在设备120和用户150之间的信息服务的类型。例如,服务请求可以以XML编码HTTP请求的形式从服务器110传输到网络服务器140。没有对用户150的直接通讯。替代地,用户150可以开始XML编码HTTP请求的传输到网络服务器140,来核查是否设备寻找服务。内容已经在由这些HTTP请求询问的URL上改变来指示服务请求在等待解决,用户150可以响应更多XML编码HTTP请求来命令该设备120,如果必要的话。但是这些命令仅仅可以作为改变的内容通过网络服务器140被登记在URL--网络服务器140由于防火墙105而不能发布HTTP请求到服务器110。因此,在登记服务请求后,服务器110必须周期性的核查一个或更多的由网络服务器140服务的URL,使得来自用户150的命令可以被下载。
以下XML编码HTTP请求代表了命令的典型实施例,其可以被用来调用与网络服务器140相关的存储在JSP服务程序引擎中的JSP文件。这些命令应该与被下载来控制或配置设备120的命令相区分。以下命令设置调用来自JSP服务程序引擎的响应,而不是配置设备120。
服务器110和用户150应该由网络服务器140认证来作为被认证的用户。以这种方式,防止了“黑客”响应或调用服务请求。为了这样做,网络浏览器150和服务器110被配置来发布XML编码认证命令到网络服务器140。依据由网络服务器140的认证,一个对话ID被创建来并发的访问。对话ID可以接着被用于在对话的生命期间的并发的命令。认证命令可以作为用户ID参数来识别发送者和发送者的密码。网络服务器140可以响应指示认证是否成功的状态代码,同样也包括对话ID。
已经认证后,服务器110可以接着发布OPEN_SERVICE_REQUESST命令来指示例如设备120的设备要求服务。这个服务请求被分配给服务ID以允许服务器110的虚拟连接。这个命令的参数可以包括服务器110的对话ID、设备120的识别、允许访问的连接的访问列表识别设备、希望的服务的说明、可以为服务建立的连接的最大数目和与服务建立连接所要求的连接密码。网络服务器140可以响应指示服务请求是否成功的状态代码,以及被用于可以访问这个服务请求的服务请求ID。
已经认证后,用户150可以核查是否有通过LIST_SERVICE_REQUESTS命令的发布来开放的服务请求到网络服务器140。这个命令包括作为参数的用户对话ID。作为响应,网络服务器140提供状态代码来指示请求是否成功,以及识别服务请求ID、设备和希望的服务的说明的所有开放服务请求的列表。
已经识别开放的服务请求后,用户140可以通过CONNECTION_REQUEST命令的发布来响应特定请求。这个命令的参数包括用户的对话ID、被响应的服务请求ID和服务请求密码。网络服务器140可以响应状态代码来指示连接请求是否成功,以及用于发送和接收信息的连接ID。
服务器110可以接着通过发布NEW_CONNECTION命令来响应连接请求命令,以完成与用户150的连接。这个命令包括作为参数的用户的对话ID。网络服务器140响应状态代码来指示连接完成请求是否成功、响应的服务请求ID,以及用于发送和接收信息的连接ID。
已经在设备120和用户150之间建立了连接后,网络浏览器325和服务器110可以开始发布SEND_AND_RECEIVE命令来发送输出信息并接收输入信息。这个命令包括作为参数的对话ID、连接ID和输出信息。可以理解的是,因为命令都是采取HTTP请求的形式,一个HTTP POST响应可以被用作必须包括输出信息(其典型地可以是设备120的命令或这个命令的响应)。网络服务器140可以响应状态代码来指示发送和接收命令是否成功,以及响应输入的信息。
为了提供增加安全性,服务器100可以发布CLOSE_SERVICE_REQUEST命令,使得不产生新的连接(注意多个用户可以响应一个服务请求)。这个命令的参数包括对话ID和服务请求ID。网络服务器140可以响应指示命令是否成功的状态代码。
服务器110或网络浏览器325可以通过发布CLOSE_CONNECTION命令到网络服务器140来关闭连接。这个命令包括作为参数的对话ID和连接ID。网络服务器140可以响应指示命令是否成功的状态代码。
可以理解的是,这个命令设置仅仅是示范性的。因此,尽管本发明已经描述了相关的特定实施例,这种描述仅仅是本发明的应用的一个例子,不应该作为限制。从而,本发明的范围在以下的权利要求中陈述。
权利要求
1.一种管理在网络中的设备的方法,其具有连接到防火墙的第一侧的设备服务器,连接到防火墙的第二侧的网络服务器,包括发布来自设备服务器的HTTP请求到由网络服务器服务的URL,来指示设备寻找服务器;响应设备寻找服务的指示,改变由网络服务器服务的URL上的内容;发布来自用户的网络浏览器的HTTP请求,以下载指示服务器被请求的改变的内容;发布来自用户的网络浏览器的HTTP请求,以对该设备指示命令;响应指示命令的HTTP请求,改变在由网络服务器服务的URL上的内容;发布来自设备服务器的HTTP请求,以下载指示到该设备的命令的改变内容;解释指示到该设备的命令的改变内容;以及因而命令该设备。
2.如权利要求1的方法,进一步包括认证该设备服务器,其中响应设备寻找服务的指示而改变由网络服务器服务的URL上的内容的行为是仅仅在设备服务器的认证已经完成之后才被执行的。
3.如权利要求2的方法,进一步包括认证该用户,其中响应指示命令的HTTP请求而改变由网络服务器服务的URL上的内容的行为是仅仅在用户的认证已经完成之后才被执行的。
4.如权利要求1的方法,其中来自设备服务器的HTTP请求是XML编码HTTP请求。
5.如权利要求1的方法,其中来自用户的网络浏览器的HTTP请求是XML编码HTTP请求。
6.如权利要求1的方法,其中改变由网络服务器服务的URL上的内容包括调用Java服务器主页文件。
7.如权利要求3的方法,进一步包括发布来自用户的网络浏览器的HTTP请求到网络服务器,来识别被响应的服务请求,并接收与发布服务请求的设备通讯的标识符;以及发布来自设备服务器的HTTP请求来接收通讯的标识符,其中发布来自用户的网络浏览器的HTTP请求来指示到该设备的命令和发布来自设备服务器的HTTP请求来下载指示到设备的命令的改变的内容,二者都提供通讯标识符到网络服务器,该网络服务器仅仅在正确提供通讯标识符时响应。
8.如权利要求7的方法,进一步包括发布来自设备服务器的HTTP请求来指示网络服务器不应该响应来自用户的网络浏览器的并发的HTTP请求,从而防止任何更多的来自用户到设备的命令。
9.如权利要求7的方法,进一步包括响应命令,发布来自设备服务器的HTTP请求,以提供来自设备的数据到用户。
10.一种在具有设备服务器的防火墙保护网络中管理设备的方法,包括响应来自设备服务器的指示在防火墙保护网络中的设备要求服务的HTTP请求,改变由网络服务器服务的URL上的内容;以及改变在由网络服务器服务的URL上内容,来指示用户已经响应该设备要求服务的指示。
11.如权利要求10的方法,进一步包括在用户服务器,下载指示用户已经响应该设备要求服务的指示的改变的内容。
12.如权利要求11的方法,进一步包括在用户服务器,解释指示用户已经响应该设备要求服务的指示的改变的内容,来形成命令到该设备。
13.如权利要求12的方法,进一步包括命令该设备响应该命令。
14.如权利要求13的方法,进一步包括响应命令,传输包括描述设备条件的数据的HTTP请求到网络服务器。
15.如权利要求14的方法,进一步包括响应来自设备服务器的包括描述设备条件的数据的HTTP请求,改变由网络服务器服务的URL上的内容。
16.如权利要求15的方法,进一步包括响应来自设备服务器的包括描述设备条件的数据的HTTP请求,下载改变的内容到用户。
17.一种装置,包括配置为执行以下动作的网络服务器响应来自设备服务器的指示设备寻找服务的HTTP请求,改变由网络服务器服务的URL上的内容;以及响应来自用户的网络浏览器的指示到设备的命令的HTTP请求,改变由网络服务器服务的URL上的内容;由此,如果设备服务器下载指示命令的改变的内容到该设备,该改变的内容被解释,因而命令该设备。
18.如权利要求17的装置,其中网络服务器被配置为通过java服务器主页来改变内容。
全文摘要
提供了一种远程控制在网络中的客户设备的方法,其具有连接到防火墙的第一侧的设备服务器,连接到防火墙的第二侧的网络服务器。通过在防火墙中的传统的TCP/IP插口,网络服务器通过传输HTTP请求到网络服务器,来启动用于客户设备的服务请求。网络服务器动态改变依次被用户访问的内容,其可以是个人用户或自动的用户。响应下载改变的内容,用户传输HTTP请求到网络服务器,其导致网络服务器改变接着由网络服务器下载的内容。网络服务器解释这个改变的内容,因而来控制该设备。
文档编号H04L12/24GK1741528SQ200510087810
公开日2006年3月1日 申请日期2005年6月8日 优先权日2004年6月8日
发明者D·霍金斯, J·莫里森, S·孙 申请人:普林昌尼克斯股份有限公司