TWI805537B - 多計算機控制方法 - Google Patents
多計算機控制方法 Download PDFInfo
- Publication number
- TWI805537B TWI805537B TW112100903A TW112100903A TWI805537B TW I805537 B TWI805537 B TW I805537B TW 112100903 A TW112100903 A TW 112100903A TW 112100903 A TW112100903 A TW 112100903A TW I805537 B TWI805537 B TW I805537B
- Authority
- TW
- Taiwan
- Prior art keywords
- module
- computer
- authentication
- management device
- key information
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
- Control By Computers (AREA)
- Hardware Redundancy (AREA)
Abstract
本發明提供一種多計算機控制方法,首先,提供一切換系統,其包括有與至少一輸入裝置電性連接的第一模組、分別與一第一計算機與一第二計算機電性連接的複數個第二模組、與第一模組以及複數個第二模組電性連接的管理裝置。然後,使第一模組獲得對應於第一計算機的第一私鑰資訊並傳輸認證請求給管理裝置。最後,管理裝置根據認證請求與第一模組進行認證程序,如果認證成功,則透過儲存於管理裝置內的第二私鑰資訊與第一計算機進行自動認證程序,若自動認證程序認證成功,則允許輸入裝置經由第一模組直接控制第一計算機。
Description
本發明為一種多電腦控制技術,特別是指一種管理認證的多計算機控制方法。
請參閱圖1所示,該圖為習用技術之多計算機控制切換系統示意圖。該多計算機系統1包括有複數個接收模組10~10b、管理計算機12以及複數個傳輸模組13~13b。每一接收模組10~10b連接有操控端裝置11包括有顯示器、鍵盤以及滑鼠等。每一個傳輸模組13~13b連接有遠端的計算機14~14b。管理計算機12、接收模組10~10b以及傳輸模組13~13b經由網路90電性連接在一起,使得多計算機控制切換系統構成網路KVM架構(KVM over IP)。管理計算機12內具有管理控制軟體,用以控制經由每一個從接收模組10~10b登入的使用者控制每一計算機14~14b的權限。
習用技術中,例如:使用者利用操控端裝置11藉由接收模組10~10b登入到管理計算機12內的管理控制軟體。管理控制軟體會呈現多個傳輸模組13~13b讓使用者選擇,使用者再選擇其中之一的傳輸模組13~13b以控制對應的計算機14~14b。例如:使用者選擇傳輸模組13a之後,使用者透過操控裝置11輸入可以登入被選擇的計算機14a的帳號與密碼,經由接收模組10a以及傳輸模組13a登入計算機14a,以操作被選擇計算機14a的應用程式。
請參閱圖2所示,在現有的技術中,對於帳號密碼的安全性保護方式為將具有安全性金鑰的認證裝置15***近端電腦16,然後近端電腦16的作業系統會偵測到***的認證裝置15,之後近端電腦16的作業系統會和雲端認證伺服器17進行認證,然後雲端認證伺服器17回傳隨機資訊(nonce),使用者在透過解密資訊(例如:指紋或密碼)解除鎖定在認證裝置15內的私密金鑰,並用此私密金鑰簽署隨機資訊。然後,被簽署的隨機資訊會再回傳給雲端認證伺服器17,雲端認證伺服器17再使用和私密金鑰對應的公開金鑰來驗證簽署的認證資訊,如果通過的話,就開啟使用者對近端電腦16的存取權。
圖2的機制,如果應用在圖1的多電腦系統時,雖然可以達到加解密的安全性功效,但是實際上必須進行兩次驗證,第一次驗證為管理計算機12的認證,第二次認證為被選擇的計算機14~14b的認證。如此繁瑣的程序雖可以達到安全性的功能,但是每一次登入時,使用者則必須要重新登入,重新進行兩次認證,如此造成使用上的不方便性。。
綜合上述,因此需要一種多計算機控制方法來解決習用技術之問題。
本發明的目的在於提供一種多計算機控制方法,可以實現加解密以及簡化認證與登入多計算機系統的程序。
在一實施例中,本發明提供一種多計算機控制方法,首先,提供一切換系統,其包括有與至少一輸入裝置電性連接的第一模組、分別與一第一計算機與一第二計算機電性連接的複數個第二模組、與第一模組以及複數個第二模組電性連接的管理裝置。然後,使第一模組獲得對應於第一計算機的第一私鑰資訊並傳輸認證請求給管理裝置。最後,管理裝置根據認證請求與第一模組進行認證程序,如果認證成功,則透過儲存於管理裝置內的第二私鑰資訊與第一計算機進行自動認證程序,若自動認證程序認證成功,則允許輸入裝置經由第一模組直接控制第一計算機。
在一實施例中,第一私鑰資訊儲存於認證裝置內,將認證裝置與第一模組電性連接,透過生物特徵或密碼使得第一模組獲得第一私鑰資訊,其中,認證程序更包括有下列步驟:首先,管理裝置回傳隨機資訊給第一模組。然後,第一模組利用第一私鑰資訊簽署該隨機資訊並回傳給該管理裝置。接著判斷該管理裝置是否成功以相應該第一計算機的一公鑰資訊解開簽署的該隨機資訊, 如果成功解開,則使該認證裝置與一外部認證伺服器進行認證。最後,如果成功與該外部認證伺服器進行認證,則使該第一模組直接控制對應該私鑰資訊的該第一計算機。
在一實施例中,第一私鑰資訊儲存於第一模組內,透過輸入裝置輸入帳號與密碼以獲得私鑰資訊。其中,認證程序更包括有下列步驟:首先,管理裝置回傳隨機資訊給第一模組。然後,第一模組利用第一私鑰資訊簽署該隨機資訊並回傳給該管理裝置。接著判斷該管理裝置是否成功以相應該第一計算機的一公鑰資訊解開簽署的該隨機資訊, 如果成功解開,則使該認證裝置與一外部認證伺服器進行認證。最後,如果成功與該外部認證伺服器進行認證,則使該第一模組直接控制對應該私鑰資訊的該第一計算機。
因此,利用本發明前述之多計算機控制方法,可以在具有管理裝置以及多台被控計算機的架構中,透過管理裝置與外部認證伺服器建立認證的程序,免除了習用技術中使用者在管理裝置以及被控計算機都要進行認證的繁瑣程序,達到兼顧操作便利性以及安全性的功效。
本發明之優點及特徵以及達到其方法將參照例示性實施例及附圖進行更詳細地描述而更容易理解。然而,本發明可以不同形式來實現且不應該被理解僅限於此處所陳述的實施例。相反地,對所屬技術領域具有通常知識者而言,所提供的此些實施例將使本揭露更加透徹與全面且完整地傳達本發明的範疇,且本發明將僅為所附加的申請專利範圍所定義。整篇說明書中,某些不同的元件符號可以是相同的元件。本文所公開的具體結構和功能細節僅僅是代表性的,並且是用於描述本發明的示例性實施例的目的。但是本發明可以通過許多替換形式來具體實現,並且不應當被解釋成僅僅受限於本文所闡述的實施例。
除非另外定義,所有使用於後文的術語(包含科技及科學術語)具有與本發明所屬該領域的技術人士一般所理解相同的意思。將更可理解的是,例如於一般所使用的字典所定義的那些術語應被理解為具有與相關領域的內容一致的意思,且除非明顯地定義於後文,將以所屬技術領域通常知識者所理解的一般意義所理解。
本文所使用的術語僅僅是為了描述具體實施例而非意圖限制示例性實施例。除非上下文明確地另有所指,否則本文所使用的單數形式“一個”、“一項”還意圖包括複數。還應當理解的是,本文所使用的術語“包括”和/或“包含”規定所陳述的特徵、整數、步驟、操作、單元和/或組件的存在,而不排除存在或添加一個或更多其他特徵、整數、步驟、操作、單元、組件和/或其組合。
請參閱圖3與圖4所示,其中,圖3為本發明之多計算機控制方法流程示意圖;圖4為本發明之切換系統架構示意圖。所述的計算機控制方法3包括有步驟30,提供切換系統2。在切換系統2的一實施例中,如圖4所示,其為網路KVM (KVM over IP) 架構。切換系統2包括有第一模組20~20b、第二模組22~22b以及管理裝置23。每一第一模組20~20b分別電性連接上網路90,例如:透過符合互聯網群組管理協議(Internet Group Management Protocol,IGMP),亦即是TCP/IP的協議族中負責的IP群播成員管理的協議的網路切換器26(LAN switch)連接上網,並與輸入裝置201,例如:鍵盤與滑鼠,電性連接。要說明的是,網路切換器26並不以前述之實施例為限制,使用者可以根據需求選擇適當的網路切換器26。
每一第二模組22~22b與網路90電性連接,例如:透過網路切換器26連接上網,並藉由網路90和管理裝置23以及每一第一模組20~20b電性連接。每一第二模組22~22b電性連接有計算機21~21b,其中第二模組22與第一計算機21電性連接,第二模組22a與第二計算機21b電性連接以及第二模組22b與第三計算機21c電性連接。管理裝置23與網路90電性連接。管理裝置23可以為計算機或者伺服器。
之後進行步驟31,使第一模組獲得第一私鑰資訊並傳輸認證請求給管理裝置。在本步驟之一實施例中,以第一模組20控制第一計算機21a為例來做說明。在本實施例中,第一模組20獲得第一私鑰資訊的方式為透過對稱式認證的方式來取得。在對稱式認證的一實施例中,第一私鑰資訊儲存於外接的認證裝置24內,使用者將認證裝置24***第一模組20內,使得第一模組20可以透過生物特徵,例如:指紋、人臉或瞳孔特徵的方式取得儲存在認證裝置24內的第一私鑰資訊。除了使用生物特徵之外,在另一實施例中,使用者也可以透過輸入裝置輸入密碼取得認證裝置24內的第一私鑰資訊。
本實施例中,認證裝置24為USB隨身碟,但不以此為限制。第一私鑰資訊為符合FIDO2安全協定的私鑰資訊,但不以FIDO2為限制。第一私鑰資訊是相應於使用者要控制操控的計算機,本實施例以第一計算機21a為例。此外,在對稱式認證的另一實施例中,第一私鑰資訊儲存於第一模組20內,使用者透過輸入關聯該第一私鑰資訊的帳號與密碼以獲得第一私鑰資訊。在其它實施例中,使用者也可直接***存有第一私鑰資訊的隨身碟而不透過生物特徵或是輸入帳號密碼的方式就取出第一私鑰資訊。
步驟31之後,接著進行步驟32,管理裝置23根據第一模組20發出的認證請求與第一模組20進行認證程序。請參閱如圖4與圖5所示,其中圖5為本發明之認證程序之一實施例流程示意圖。本實施例中,步驟32的實施例屬於非對稱認證的程序,亦即以私鑰資訊來加密,以相應的公鑰資訊來解密的方式來進行。步驟32的認證程序可以進一步包括有步驟321,管理裝置23接收到認證請求之後,回傳符合相同認證協定的隨機資訊(nonce)給第一模組20。接著進行步驟322,第一模組20利用獲得的第一私鑰資訊加密(encrypt)簽署隨機資訊並回傳給管理裝置23。之後再進行步驟323,判斷管理裝置23是否成功以相應第一計算機21a的公鑰資訊解開由第一模組20所回傳簽署的隨機資訊。
在判斷程序的一實施例中,管理裝置23內部會儲存有對應每一個被控計算機21a~21c的公鑰資訊,並將每一公鑰資訊來對前述步驟的被加密的隨機資訊進行解密,如果成功解開,則代表第一模組20可以控制解開加密隨機資訊的公鑰資訊所對應的計算機。完成了認證裝置24與管理裝置23之間的認證程序,流程回到圖3的步驟33,反之,如果沒有任何一公鑰資訊可以解開前述的被加密的隨機資訊,進行步驟324拒絕存取第一模組20存取與管理裝置23相連的計算機21a~21c。
步驟32之後,進行步驟33,透過儲存於管理裝置23內的第二私鑰資訊進行自動認證程序。在步驟33的一實施例中,管理裝置23的作業系統會和雲端認證伺服器25進行認證。本實施例中的雲端認證伺服器25為為FIDO2的身分認證伺服器,其係相應於被控第一算機21a的作業系統的認證伺服器。例如:如果第一計算機21a的作業系統為微軟WINDOWS,則雲端認證伺服器25為微軟AZURE的認證伺服器,但不以此為限制。然後雲端認證伺服器25回傳隨機資訊(nonce)給管理裝置23,管理裝置23利用第二私鑰資訊對隨機資訊進行加密簽署,並將加密後的第二私鑰資訊回傳給雲端認證伺服器25。然後,雲端認證伺服器25再使用和第二私鑰資訊對應的公鑰資訊來解開加密簽署的認證資訊,如果解開的話,就代表管理裝置24通過認證。反之,則代表沒有通過認證,則進行步驟34拒絕第一模組20存取遠端的計算機。
當成功認證之後,進行步驟35,在本步驟中,使用者就可以透過第一模組20取得第一計算機21a的控制權,並透過第一模組20將輸入裝置21所輸入的內容經由第二模組22到第一計算機21a,以直接操控第一計算機21a。在操作的一實施例中,使用者透過輸入裝置201,產生輸入或操控的訊號,如:滑鼠游標移動的座標、滑鼠單點擊或雙點擊或者是鍵盤的按鍵輸入內容等,經由第一模組20打包成網路封包,然後透過網路90傳輸至第二模組22解開封包之後,再傳入第一計算機21a;同時,第一計算機21a輸出相應的影像訊號透過第二模組22打包成網路封包、經由網路90傳輸至第一模組20,然後第一模組20解開網路封包形成影像資訊,在顯示器進行顯示。
綜合上述,本發明之多計算機控制方法,可以過管理裝置與外部認證伺服器建立認證的程序,因此使用者最多只要輸入一次帳號與密碼即可成功登入與第二模組電性連接的計算機,如此可以免除習用技術中使用者在管理裝置以及被控計算機都要進行認證的繁瑣程序,達到兼顧操作便利性以及安全性的功效。
以上所述,乃僅記載本發明為呈現解決問題所採用的技術手段之較佳實施方式或實施例而已,並非用來限定本發明專利實施之範圍。即凡與本發明專利申請範圍文義相符,或依本發明專利範圍所做的均等變化與修飾,皆為本發明專利範圍所涵蓋。
1:多計算機系統
10~10b:接收模組
12:管理計算機
13~13b:傳輸模組
11:操控端裝置
14~14b:計算機
15:認證裝置
16:近端電腦
17:認證伺服器
2:切換系統
20~20b:第一模組
201:輸入裝置
202:顯示器
21a:第一計算機
21b:第二計算機
21c:第三計算機
22~22b:第二模組
23:管理裝置
24:認證裝置
25:認證伺服器
26:切換器
90:網路
3:多計算機控制方法
30~35:步驟
321~324:步驟
所包括的圖式用來提供對本申請實施例的進一步的理解,其構成了說明書的一部分,用於例示本申請的實施方式,並與文字描述一起來闡釋本申請的原理。顯而易見地,下面描述中的圖式僅僅是本申請的一些實施例,對於本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些圖式獲得其他的圖式。在圖式中:
圖1為習用技術之多計算機控制切換系統示意圖;
圖2為習用技術之加解密認證架構示意圖;
圖3為本發明之多計算機控制方法流程示意圖;
圖4為本發明之切換系統架構示意圖;以及
圖5為本發明之認證程序之一實施例流程示意圖。
3:多計算機控制方法
30~35:步驟
Claims (9)
- 一種多計算機控制方法,包括: 提供一切換系統,其包括有與至少一輸入裝置電性連接的一第一模組、分別與一第一計算機與一第二計算機電性連接的複數個第二模組、與該第一模組以及該複數個第二模組電性連接的一管理裝置; 使該第一模組獲得一第一私鑰資訊並傳輸一認證請求給該管理裝置,其中該第一私鑰資訊對應於該第一計算機;以及 該管理裝置根據該認證請求與該第一模組進行一認證程序,如果認證成功,則透過儲存於該管理裝置內的一第二私鑰資訊進行一自動認證程序,若該自動認證程序認證成功,則允許該輸入裝置經由該第一模組直接控制該第一計算機。
- 如請求項1所述之多計算機控制方法,其中該第一私鑰資訊儲存於一認證裝置內,將該認證裝置與該第一模組電性連接,透過一生物特徵或一密碼使得該第一模組獲得該第一私鑰資訊。
- 如請求項2所述之多計算機控制方法,其中該認證裝置為隨身碟。
- 如請求項2所述之多計算機控制方法,其中該認證程序更包括有下列步驟: 該管理裝置回傳一隨機資訊給該第一模組; 該第一模組利用該第一私鑰資訊簽署該隨機資訊並回傳給該管理裝置; 判斷該管理裝置是否成功以相應該第一計算機的一公鑰資訊解開簽署的該隨機資訊;以及 如果成功解開,則使該管理裝置透過該第二私鑰資訊與一外部伺服器進行該自動認證程序。
- 如請求項4所述之多計算機控制方法,其中該外部伺服器為FIDO2的身分認證伺服器。
- 如請求項1所述之多計算機控制方法,其中該第一私鑰資訊儲存於該第一模組內,透過該輸入裝置輸入一帳號與密碼以獲得該第一私鑰資訊。
- 如請求項6所述之多計算機控制方法,其中該認證程序更包括有下列步驟: 該管理裝置回傳一隨機資訊給該第一模組; 以一生物特徵從該認證裝置取出該第一私鑰資訊; 該第一模組利用該第一私鑰資訊簽署該隨機資訊並回傳給該管理裝置; 判斷該管理裝置是否成功以相應該第一計算機的一公鑰資訊解開簽署的該隨機資訊; 以及 如果成功解開,則使該管理裝置透過該第二私鑰資訊與一外部伺服器進行該自動認證程序。
- 如請求項7所述之多計算機控制方法,其中該外部認證伺服器為FIDO2的身分認證伺服器。
- 如請求項1所述之多計算機控制方法,其係更包括有一網路切換器,分別與該第一模組、第二模組以及該管理裝置電性連接。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112100903A TWI805537B (zh) | 2023-01-09 | 2023-01-09 | 多計算機控制方法 |
| CN202310308360.7A CN118312945A (zh) | 2023-01-09 | 2023-03-27 | 多计算机控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112100903A TWI805537B (zh) | 2023-01-09 | 2023-01-09 | 多計算機控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI805537B true TWI805537B (zh) | 2023-06-11 |
| TW202429294A TW202429294A (zh) | 2024-07-16 |
Family
ID=87803072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW112100903A TWI805537B (zh) | 2023-01-09 | 2023-01-09 | 多計算機控制方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN118312945A (zh) |
| TW (1) | TWI805537B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030105721A1 (en) * | 1995-02-13 | 2003-06-05 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US20090150532A1 (en) * | 2007-12-06 | 2009-06-11 | Aten International Co., Ltd. | Methods and systems for client computer managing multiple servers |
| US20110107379A1 (en) * | 2009-10-30 | 2011-05-05 | Lajoie Michael L | Methods and apparatus for packetized content delivery over a content delivery network |
| US20160203343A1 (en) * | 2010-02-24 | 2016-07-14 | Hige Sec Labs Ltd. | Secured kvm system having remote controller-indicator |
| US20190268347A1 (en) * | 2009-03-31 | 2019-08-29 | Amazon Technologies, Inc. | Managing security groups for data instances |
-
2023
- 2023-01-09 TW TW112100903A patent/TWI805537B/zh active
- 2023-03-27 CN CN202310308360.7A patent/CN118312945A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030105721A1 (en) * | 1995-02-13 | 2003-06-05 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US20090150532A1 (en) * | 2007-12-06 | 2009-06-11 | Aten International Co., Ltd. | Methods and systems for client computer managing multiple servers |
| US20190268347A1 (en) * | 2009-03-31 | 2019-08-29 | Amazon Technologies, Inc. | Managing security groups for data instances |
| US20110107379A1 (en) * | 2009-10-30 | 2011-05-05 | Lajoie Michael L | Methods and apparatus for packetized content delivery over a content delivery network |
| US20160203343A1 (en) * | 2010-02-24 | 2016-07-14 | Hige Sec Labs Ltd. | Secured kvm system having remote controller-indicator |
Also Published As
| Publication number | Publication date |
|---|---|
| CN118312945A (zh) | 2024-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9992176B2 (en) | Systems and methods for encrypted communication in a secure network | |
| US9185096B2 (en) | Identity verification | |
| US20180205547A1 (en) | Method for providing security using secure computation | |
| JP5619019B2 (ja) | 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証) | |
| US7581099B2 (en) | Secure object for convenient identification | |
| US7591012B2 (en) | Dynamic negotiation of encryption protocols | |
| CN108964885B (zh) | 鉴权方法、装置、***和存储介质 | |
| US8739260B1 (en) | Systems and methods for authentication via mobile communication device | |
| WO2018046009A1 (zh) | 一种区块链身份*** | |
| EP1498800B1 (en) | Security link management in dynamic networks | |
| KR101130415B1 (ko) | 비밀 데이터의 노출 없이 통신 네트워크를 통해 패스워드 보호된 비밀 데이터를 복구하는 방법 및 시스템 | |
| JP2008516476A (ja) | マルチメディアのグループ同報を許可する方法及びシステム | |
| US6785729B1 (en) | System and method for authorizing a network user as entitled to access a computing node wherein authenticated certificate received from the user is mapped into the user identification and the user is presented with the opprtunity to logon to the computing node only after the verification is successful | |
| US20020152377A1 (en) | System console device authentication in a network environment | |
| US7581111B2 (en) | System, method and apparatus for transparently granting access to a selected device using an automatically generated credential | |
| CN100365974C (zh) | 一种控制计算机登录的设备及方法 | |
| WO2008095346A1 (fr) | Procédé et outil de signature électronique | |
| US20090271630A1 (en) | Authentication system, authentication method and terminal device | |
| WO2018187960A1 (zh) | 一种 Root 权限管控的方法及*** | |
| US10873572B1 (en) | Transferring a single sign-on session between a browser and a client application | |
| TWI805537B (zh) | 多計算機控制方法 | |
| CN113904830B (zh) | 一种spa认证的方法、装置、电子设备和可读存储介质 | |
| US20220278981A1 (en) | Authentication System for Computer Accessing a Remote Server | |
| CN110493236A (zh) | 一种通信方法、计算机设备及存储介质 | |
| US7302568B2 (en) | Method, system, and article of manufacture for remote management of devices |