• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    揭示一種用以處理在客戶端終端與伺服器間網路通訊之會話(session)的方法包含:擷取客戶端終端之網路傳輸單元所發出請求;因應請求,為客戶端終端產生中繼(intermediate)會話識別碼;因應請求,通知伺服器建立會話;在會話建立後,接收伺服器利用伺服器會話識別碼所發出之回應(response);將伺服器會話識別碼關聯至中繼會話識別碼;以及利用中繼會話識別碼傳送回應給網路傳輸單元。
    公开号:TW201310955A
    申请号:TW100131055
    申请日:2011-08-30
    公开日:2013-03-01
    发明作者:Rick Ming-Feng Wu;Bear Wei-Xiang Hsiung;Will Wei-Xiao Suen;Wesley Ya-Xuan Tsai
    申请人:Ibm;
    IPC主号:H04L63-00
    专利说明:
    處理網路通訊之會話的方法與資訊裝置
    本發明係關於處理網路通訊之會話的方法與資訊裝置。
    為了確保網路通訊上的安全,必須避免所謂的會話劫持(session hijacking)。一般而言,會話劫持可包含會話竊聽(session sniffing)與跨網站腳本攻擊(cross-site script attack、XSS)。以上可參考Open Web Application Security Project(OWASP)網站上關於會話劫持的說明:https://www.owasp.org/index.php/Session_hijacking_attack。
    為了處理上述會話劫持的問題,習知有許多方法,例如可參考同屬申請人之美國專利US 6,363,478、US7043455、US7487353等,在此以引用的方式併入本文。
    本發明一方面即在於:在客戶端終端與伺服器間網路通訊的路徑上,提供會話識別碼的真/假替換機制。
    相對於伺服器端,客戶端終端一般多處在安全程度較低的環境(例如可無線上網(Wi-Fi)的公共場所),因此在靠近客戶端終端的路徑時可利用假的會話識別碼進行通訊,待進入至安全程度高的環境(例如骨幹網路)前,再替換為真實的會話識別碼,並以此與伺服器通訊。依此,縱使假的會話識別碼有被竊聽或是盜取的風險,但因為伺服器端並不接受假的會話識別碼,因此尚不至於對使用者的安全性造成太大的損害。舉例來說,此種作法可應用於防止會話竊聽,但不限於此。
    本發明另一方面即在於:客戶端終端內部即提供會話識別碼的真/假替換機制。
    因應大多數的通訊協定的要求(例如HTTP),會話識別碼需儲存在客戶端終端中之一特定位置(例如HTTP cookie),因此很容易被偵測出而進一步被竊取。換言之,此特定位置其安全程度較低,因此可儲存假的會話識別碼在此特定位置作為「替身」,待要與伺服器通訊時,再另行替換為真實的會話識別碼。同樣地,縱使假的會話識別碼有可能被盜取,但尚不至於對使用者的安全性造成太大的損害。舉例來說,此種作法可應用於防止跨網站腳本攻擊,但不限於此。
    根據本發明一實施例,一種用以處理在客戶端終端與伺服器間網路通訊之會話的方法,其中客戶端終端具有網路傳輸單元(例如瀏覽器),該方法包含:
    ● 擷取網路傳輸單元所發出之請求(request);
    ● 為客戶端終端產生中繼會話識別碼;
    ● 通知伺服器建立會話;
    ● 在會話建立後,接收伺服器利用伺服器會話識別碼所發出之回應(response);
    ● 將伺服器會話識別碼關聯至中繼會話識別碼;以及
    ● 利用中繼會話識別碼傳送回應給網路傳輸單元。
    根據本發明另一實施例,一種用以處理在客戶端終端與伺服器間網路通訊之會話的方法,其中客戶端終端具有網路傳輸單元(例如瀏覽器),該方法包含:
    ● 在伺服器為客戶端終端建立會話後,接收伺服器利用伺服器會話識別碼所發出之回應;
    ● 將伺服器會話識別碼替換為中繼會話識別碼;以及
    ● 利用中繼會話識別碼傳送回應給網路傳輸單元。
    在本發明其他實施例中,更提出可實行上述方法之資訊設備以及電腦可讀媒體或電腦程式產品。
    本說明書中所提及的特色、優點、或類似表達方式並不表示,可以本發明實現的所有特色及優點應在本發明之任何單一的具體實施例內。而是應明白,有關特色及優點的表達方式是指結合具體實施例所述的特定特色、優點、或特性係包含在本發明的至少一具體實施例內。因此,本說明書中對於特色及優點、及類似表達方式的論述與相同具體實施例有關,但亦非必要。
    此外,可以任何合適的方式,在一或多個具體實施例中結合本發明所述特色、優點、及特性。相關技術者應明白,在沒有特定具體實施例之一或多個特定特色或優點的情況下,亦可實施本發明。在其他例子中應明白,特定具體實施例中的其他特色及優點可能未在本發明的所有具體實施例中出現。
    參考以下說明及隨附申請專利範圍或利用如下文所提之本發明的實施方式,即可更加明瞭本發明的這些特色及優點。
    本說明書中「一具體實施例」或類似表達方式的引用是指結合該具體實施例所述的特定特色、結構、或特性係包括在本發明的至少一具體實施例中。因此,在本說明書中,「在一具體實施例中」及類似表達方式之用語的出現未必指相同的具體實施例。
    熟此技藝者當知,本發明可實施為資訊設備、方法或作為電腦程式產品之電腦可讀媒體。因此,本發明可以實施為各種形式,例如完全的硬體實施例、完全的軟體實施例(包含韌體、常駐軟體、微程式碼等),或者亦可實施為軟體與硬體的實施形式,在以下會被稱為「電路」、「模組」或「系統」。此外,本發明亦可以任何有形的媒體形式實施為電腦程式產品,其具有電腦可使用程式碼儲存於其上。
    一個或更多個電腦可使用或可讀取媒體的組合都可以利用。舉例來說,電腦可使用或可讀取媒體可以是(但並不限於)電子的、磁的、光學的、電磁的、紅外線的或半導體的系統、裝置、設備或傳播媒體。更具體的電腦可讀取媒體實施例可以包括下列所示(非限定的例示):由一個或多個連接線所組成的電氣連接、可攜式的電腦磁片、硬碟機、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或快閃記憶體)、光纖、可攜式光碟片(CD-ROM)、光學儲存裝置、傳輸媒體(例如網際網路(Internet)或內部網路(intranet)之基礎連接)、或磁儲存裝置。需注意的是,電腦可使用或可讀取媒體更可以為紙張或任何可用於將程式列印於其上而使得該程式可以再度被電子化之適當媒體,例如藉由光學掃描該紙張或其他媒體,然後再編譯、解譯或其他合適的必要處理方式,然後可再度被儲存於電腦記憶體中。在本文中,電腦可使用或可讀取媒體可以是任何用於保持、儲存、傳送、傳播或傳輸程式碼的媒體,以供與其相連接的指令執行系統、裝置或設備來處理。電腦可使用媒體可包括其中儲存有電腦可使用程式碼的傳播資料訊號,不論是以基頻(baseband)或是部分載波的型態。電腦可使用程式碼之傳輸可以使用任何適體的媒體,包括(但並不限於)無線、有線、光纖纜線、射頻(RF)等。
    用於執行本發明操作的電腦程式碼可以使用一種或多種程式語言的組合來撰寫,包括物件導向程式語言(例如Java、Smalltalk、C++或其他類似者)以及傳統程序程式語言(例如C程式語言或其他類似的程式語言)。程式碼可以獨立軟體套件的形式完整的於使用者的電腦上執行或部分於使用者的電腦上執行,或部分於使用者電腦而部分於遠端電腦。
    於以下本發明的相關敘述會參照依據本發明具體實施例之資訊設備、方法及電腦程式產品之流程圖及/或方塊圖來進行說明。當可理解每一個流程圖及/或方塊圖中的每一個方塊,以及流程圖及/或方塊圖中方塊的任何組合,可以使用電腦程式指令來實施。這些電腦程式指令可供通用型電腦或特殊電腦的處理器或其他可程式化資料處理裝置所組成的機器來執行,而指令經由電腦或其他可程式化資料處理裝置處理以便實施流程圖及/或方塊圖中所說明之功能或操作。
    這些電腦程式指令亦可被儲存在電腦可讀取媒體上,以便指示電腦或其他可程式化資料處理裝置來進行特定的功能,而這些儲存在電腦可讀取媒體上的指令構成一製成品,其內包括之指令可實施流程圖及/或方塊圖中所說明之功能或操作。
    電腦程式指令亦可被載入到電腦上或其他可程式化資料處理裝置,以便於電腦或其他可程式化裝置上進行一系統操作步驟,而於該電腦或其他可程式化裝置上執行該指令時產生電腦實施程序以達成流程圖及/或方塊圖中所說明之功能或操作。
    其次,請參照圖1至圖7,在圖式中顯示依據本發明各種實施例的資訊設備、方法及電腦程式產品可實施的架構、功能及操作之流程圖及方塊圖。因此,流程圖或方塊圖中的每個方塊可表示一模組、區段、或部分的程式碼,其包含一個或多個可執行指令,以實施指定的邏輯功能。另當注意者,某些其他的實施例中,方塊所述的功能可以不依圖中所示之順序進行。舉例來說,兩個圖示相連接的方塊事實上亦可以同時執行,或依所牽涉到的功能在某些情況下亦可以依圖示相反的順序執行。此外亦需注意者,每個方塊圖及/或流程圖的方塊,以及方塊圖及/或流程圖中方塊之組合,可藉由基於特殊目的硬體的系統來實施,或者藉由特殊目的硬體與電腦指令的組合,來執行特定的功能或操作。
    圖1之方塊圖係顯示一實施例中資訊設備10。資訊設備10可實施為例如,但不限於,無線網路橋接器(Access Point)、數位電視機上盒(set top box)、路由器(Router)、交換器(Switch)、閘道器(Gateway)、防火牆(firewall)裝置、代理伺服器(proxy)、或是侵偵測防禦(Intrusion Prevention System(IPS))裝置。
    特別地,資訊設備10具有記憶體12與處理器14。記憶體12可為電腦磁片、硬碟機、隨機存取記憶體(RAM)、唯讀記憶體(ROM)、可抹除程式化唯讀記憶體(EPROM或快閃記憶體)、光碟片、光學儲存裝置、或磁儲存裝置。記憶體12用以存放程式碼,而處理器14係存取記憶體12之程式碼,以執行預定的程式AP。
    特別地,程式AP係用於產生中繼會話識別碼(IDm)以及進行中繼會話識別碼(IDm)與伺服器30(見圖2)所提供之伺服器會話識別碼(IDs)間之替換;較佳地,程式AP更製作一會話表(session table)ST,儲存於記憶體12(或是資訊設備10中其他的記憶體),以記錄中繼會話識別碼(IDm)與伺服器會話識別碼(IDs)間之對應關係。更多的細節將描述於後。
    進一步如圖2所示,資訊設備10係設置且連結於客戶端終端20與伺服器30。資訊設備10與客戶端終端20間,以及資訊設備10與伺服器30間,可透過各式網路(例如LAN、WAN、或Internet)等方式連結。在一實施例中,資訊設備10與客戶端終端20間係為區域無線網路(WLAN),資訊設備10與伺服器30間則為網際網路(Internet),但本發明並不欲於侷限於此。此外,如圖2所示,資訊設備10可支援複數個客戶端終端(20、20a、20b),並可供任一客戶端終端連結複數個伺服器(30、30a、30b)。
    伺服器30係提供網路服務,例如社交網路服務、網頁郵件服務、行動商務服務、或是內容資訊提供服務等等。特別是,伺服器30為了提供服務,係儲存有使用者的個人資料,因此為了安全性以及隱私的考量,伺服器30一般會要求使用者在使用其服務前,需先利用使用者帳號與密碼來進行身份識別(或稱為「登入」),避免使用者的個人資料被盜取或竄改。
    客戶端終端20可為個人行動裝置或是個人電腦,且具有網路傳輸單元22(例如瀏覽器),其與伺服器30進行資料通訊以供使用者使用伺服器30所提供的服務。更多的細節將描述於後。
    <建立新會話>
    圖3則顯示根據本發明實施例應用於建立會話之方法流程圖,並配合圖1與圖2說明本發明。在一示範性範例中,客戶端終端20係位於提供有公開無線網路(Public WLAN)之咖啡店(未圖示),而資訊設備10即實施為提供無線網路之無線網路橋接器(Access Point),而客戶端終端20之網路傳輸單元22係在一給定時間內「首次」在此咖啡店中透過資訊設備10連結伺服器30。
    此外,在此範例中,在圖3所述之方法實行前,客戶端終端20事先在別處(例如家中)與伺服器30建立過會話且已登入至伺服器30所提供的服務,藉此網路傳輸單元22已取得伺服器30為此先前會話所提供之會話識別碼(以下簡稱「先前會話識別碼」)。
    ● 步驟300:網路傳輸單元22發出一請求,該請求係包含伺服器30之位址(例如URL)。由於網路傳輸單元22係「首次」在此咖啡店連結伺服器30,網路傳輸單元22可利用上述「先前會話識別碼」發出請求。「請求」的資料格式一般係由根據所使用的通訊協定(例如HTTP)所制定,在此不加贅述。
    ● 步驟302:如圖2所示,客戶端終端20係透過資訊設備10(作為無線網路橋接器)連結至網際網路與伺服器30。換言之,客戶端終端20所發出之網路封包都必須經過資訊設備10才能傳送至網際網路或伺服器30,藉此資訊設備10接收網路傳輸單元22在步驟300中所發出之請求。
    ● 步驟304:資訊設備10之處理器14執行程式AP,執行程式AP查詢儲存於記憶體12之會話表ST,藉此確認網路傳輸單元22在步驟300中所使用之「先前會話識別碼」並非為由程式AP所產生之中繼會話識別碼(IDm),也就是判斷出網路傳輸單元22係「首次」透過資訊設備10來連結伺服器30。
    ● 步驟306:因應網路傳輸單元22在步驟300中所發出之請求,程式AP為客戶端終端20產生一中繼會話識別碼IDm。特別地,程式AP可將客戶端終端20之一識別碼(例如IP位址或是MAC碼)關聯至其所產生之中繼會話識別碼IDm,藉此程式AP可將其所產生之中繼會話識別碼IDm專屬地提供給客戶端終端20,特別是在程式AP尚須支援其他的客戶端終端20a、20b的情況。另外需說明的是,在此階段,並不一定要將所產生的中繼會話識別碼IDm傳送給客戶端終端20,可待後續步驟再行傳送。
    ● 步驟308:程式AP利用步驟306中所產生之中繼會話識別碼IDm回傳一警示頁面給網路傳輸單元22,其警示頁面係用以提示使用者在此環境(即此咖啡店之公共無線網路)下的網路安全風險,並詢問使用者是否同意重新登入伺服器30所提供的服務(也就是重新輸入使用者帳號與密碼以供伺服器30進行身份識別)。若是,則進行至步驟310。
    ● 步驟310:程式AP替網路傳輸單元22另行發出請求,用以向伺服器30請求重新登入伺服器30所提供之網路服務。
    ● 步驟312:因應程式AP所發出之請求,伺服器30回傳一登入頁面給程式AP,此登入頁面包含使用者帳號與密碼等欄位,可參考一般網路服務的登入頁面,在此不加贅述。
    ● 步驟314:的程式AP將從伺服器30取得的登入頁面回傳給網路傳輸單元22。
    ● 步驟316:使用者針對前述之登入頁面而輸入登入所需的帳號密碼資料,而網路傳輸單元22將所輸入之帳號密碼資料傳送給資訊設備10的程式AP。
    ● 步驟318:資訊設備10的程式AP將登入所需的帳號密碼資料傳送給伺服器30,以登入伺服器30所提供之網路服務。
    ● 步驟320:伺服器30以程式AP所提供的帳號密碼進行驗證。待驗證通過,則產生一伺服器會話識別碼IDs以及建立一新會話,並利用此伺服器會話識別碼IDs傳送一會話回應(response)至資訊設備10。「回應」的資料格式一般係由根據所使用的通訊協定(例如HTTP)所制定,在此不加贅述。接著進行至步驟350。
    ● 步驟350:資訊設備10的程式AP收到伺服器30利用伺服器會話識別碼IDs所傳送之回應後,將伺服器會話識別碼IDs關聯至前述之中繼會話識別碼IDm以及客戶端終端20之識別碼,並記錄於記憶體12之會話表ST。會話表ST可另外包含其他關於會話的資料,例如伺服器30的網域、會話識別名稱、有效期間等,如圖8所示。
    ● 步驟352:資訊設備10的程式AP利用與伺服器會話識別碼IDs關聯之中繼會話識別碼IDm(也就是步驟306中所產生之中繼會話識別碼IDm),將從伺服器30所收到的回應回傳給客戶端終端20之網路傳輸單元22,而網路傳輸單元22可將回應呈現給使用者,並且儲存中繼會話識別碼IDm(例如儲存於Cookies)作為之後對於此會話的識別之用。
    值得說明的是,上述步驟316至步驟320,其中資料的傳送可另行加密,例如可使用HTTPS協定,以進一步保障安全性。
    另一方面,若步驟308之判斷為否,也就是使用者不願意重新登入伺服器30,則進行至步驟330。
    ● 步驟330:程式AP將客戶端終端20在步驟300中所發出之請求傳送給伺服器,在此程式AP係利用客戶端終端20在步驟300中所使用之「先前會話識別碼」來傳送此請求。
    ● 步驟332:因應程式AP之請求,伺服器30利用一伺服器會話識別碼IDs傳送一回應至資訊設備10。在此伺服器30可繼續將「先前會話識別碼」作為伺服器會話識別碼IDs,或是伺服器30可捨棄「先前會話識別碼」(例如先前會話識別碼已過期失效)而可另外產生一新的會話識別碼作為伺服器會話識別碼IDs(即建立一新會話)。接著進行至步驟350與352,參見以上之說明。
    <會話識別碼之替換>
    延續圖3之說明,圖4則進一步顯示根據本發明實施例應用於會話識別碼之替換之方法流程圖。在圖4所述之方法實行前,網路傳輸單元22已取得中繼會話識別碼IDm(見圖3之步驟352),且資訊設備10在記憶體12之會話表ST中亦已具有中繼會話識別碼IDm、客戶端終端20之識別碼、與伺服器會話識別碼IDs之對應關係(見圖3之步驟306與350)。
    ● 步驟400:網路傳輸單元22利用中繼會話識別碼IDm所發出請求。
    ● 步驟402:資訊設備10接收網路傳輸單元22在步驟400中所發出之請求。
    ● 步驟404:資訊設備10之處理器14執行程式AP,程式AP查詢儲存於記憶體12之會話表ST,藉此確認網路傳輸單元22在步驟400中所使用之中繼會話識別碼IDm係由程式AP先前所產生之中繼會話識別碼IDm((見圖3之步驟306),並根據會話表ST查出與中繼會話識別碼IDm相關聯之伺服器會話識別碼IDs。較佳地,程式AP會進一步確認客戶端終端20之識別碼是否與會話表ST中與中繼會話識別碼IDm對應之客戶端終端之識別碼(例如IP/MAC)相符。
    ● 步驟406:程式AP將網路傳輸單元22在步驟400中所發出之請求傳送給伺服器,但在此程式AP係利用在步驟404中所查出之伺服器會話識別碼IDs來傳送此請求,也就是在此進行所謂的「會話識別碼之替換」,即將網路傳輸單元22原先使用之中繼會話識別碼IDm替換為伺服器會話識別碼IDs。
    ● 步驟408:因應程式AP之請求,伺服器30利用伺服器會話識別碼IDs傳送回應至資訊設備10。
    ● 步驟410:資訊設備10的程式AP收到伺服器30利用伺服器會話識別碼IDs所傳送之回應後,程式AP查詢儲存於記憶體12之會話表ST,查出與伺服器會話識別碼IDs相對應之中繼會話識別碼IDm。
    ● 步驟412:程式AP利用步驟410所查出之中繼會話識別碼IDm將從伺服器30所收到的回應回傳給網路傳輸單元22,而網路傳輸單元22可將回應呈現給使用者。在此,程式AP再一次進行所謂的「會話識別碼之替換」,即將伺服器30使用之伺服器會話識別碼IDs替換為中繼會話識別碼IDm。
    值得說明的是,在圖4所示的方法中,即使伺服器30與網路傳輸單元22係使用的不同的會話識別碼(即伺服器30使用伺服器會話識別碼IDs,而網路傳輸單元22使用中繼會話識別碼IDm),但只要伺服器會話識別碼IDs與中繼會話識別碼IDm不改變,則伺服器30與網路傳輸單元22就能夠確認彼此間之通訊是否在相同的會話中,也就滿足了會話識別碼的基本功能,但又同時兼顧了網路安全性。
    <變化實施例>
    如圖5所示,客戶端終端25可為個人行動裝置或是個人電腦,且具有網路傳輸單元27(例如瀏覽器),可透過各式網路(例如LAN、WAN、或Internet)等方式連結伺服器30(或是伺服器30a、30b)其與伺服器30進行資料通訊以供使用者使用伺服器30所提供的服務。圖4之系統與圖2相比,係省略資訊設備10。但相對地,客戶端終端25之網路傳輸單元27係具有外掛模組(plug-in)PI。關於外掛模組PI的實施態樣,可參考名為“buySAFE Shopping Advisor”之FirefoxTM瀏覽器之外掛模組或是名為“HTTP Headers”之ChromeTM瀏覽器之外掛模組,在此不加贅述。
    特別地,相對於圖1所示之資訊設備10之程式AP,圖5中位於客戶端終端25內部之外掛模組PI係用於產生中繼會話識別碼IDm以及進行中繼會話識別碼IDm與伺服器30所提供之伺服器會話識別碼IDs間之替換;較佳地,外掛模組PI更製作會話表ST,儲存於客戶端終端25之記憶體(未圖示,且較佳與網路傳輸單元27存放會話識別碼之記憶體位址有所區隔),以記錄中繼會話識別碼IDm與伺服器會話識別碼IDs間之對應關係。更多的細節將描述於後。
    圖6則顯示根據本發明變化實施例之方法流程圖,並配合圖5說明本發明。在此範例中,客戶端終端25之網路傳輸單元27係「首次」連結伺服器。
    ● 步驟600:網路傳輸單元27發出請求,該請求係包含伺服器30之位址(例如URL)。由於網路傳輸單元27係「首次」連結伺服器30,網路傳輸單元27並無會話識別碼可供使用。
    ● 步驟602:如圖5所示,網路傳輸單元27具有外掛模組PI,因此外掛模組PI接收網路傳輸單元27在步驟600中所發出之請求。
    ● 步驟604:外掛模組PI查詢會話表ST,藉此確認網路傳輸單元27在步驟600中並無使用由外掛模組PI所產生之中繼會話識別碼(IDm),也就是判斷出網路傳輸單元27係「首次」連結伺服器30。
    ● 步驟606:外掛模組PI將請求傳回網路傳輸單元25,而網路傳輸單元27則繼續將請求發送至伺服器30。
    ● 步驟608:因應網路傳輸單元27之請求,伺服器30產生伺服器會話識別碼IDs(即建立新會話),並利用此伺服器會話識別碼IDs傳送回應至網路傳輸單元27。
    ● 步驟610:網路傳輸單元27將伺服器30利用伺服器會話識別碼IDs所發出之回應轉送給外掛模組PI。
    ● 步驟612:因應伺服器30所發出之回應,外掛模組PI產生中繼會話識別碼IDm,並將伺服器會話識別碼IDs關聯至此中繼會話識別碼IDm,並記錄於會話表ST。
    ● 步驟614:外掛模組PI將從伺服器30所發出的回應中之伺服器會話識別碼IDs替換為步驟612中所產生之中繼會話識別碼IDm,並回傳給網路傳輸單元27,而網路傳輸單元27可將回應呈現給使用者,並且儲存中繼會話識別碼IDm(例如儲存於HTTP Cookies)作為之後對於此會話的識別之用。
    延續圖6之說明,圖7則進一步顯示根據本發明實施例應用於會話識別碼之替換之方法流程圖。在圖6所述之方法實行前,網路傳輸單元27已取得中繼會話識別碼IDm(見圖6之步驟614),且外掛模組PI之會話表ST中亦已具有中繼會話識別碼IDm與伺服器會話識別碼IDs之對應關係(見圖6之步驟612)。
    ● 步驟700:網路傳輸單元27利用中繼會話識別碼IDm所發出請求。
    ● 步驟702:外掛模組PI接收網路傳輸單元27在步驟600中所發出之請求。
    ● 步驟704:外掛模組PI查詢會話表ST,藉此確認網路傳輸單元27在步驟700中係使用由外掛模組PI所產生之中繼會話識別碼IDm,並查出與其關聯之伺服器會話識別碼IDs(見圖6之步驟612與614)。
    ● 步驟706:外掛模組PI將從網路傳輸單元27所發出的回應中之中繼會話識別碼IDm替換為步驟704中所查出之伺服器會話識別碼IDs,並回傳給網路傳輸單元27,藉此網路傳輸單元27利用伺服器會話識別碼IDs將請求發送至伺服器30。
    ● 步驟708:因應網路傳輸單元27之請求,伺服器30利用此伺服器會話識別碼IDs傳送回應至網路傳輸單元27。
    ● 步驟710:網路傳輸單元27將伺服器30利用伺服器會話識別碼IDs所發出之回應轉送給外掛模組PI。
    ● 步驟712:外掛模組PI查詢儲存會話表ST,查出與伺服器會話識別碼IDs關聯之中繼會話識別碼IDm(見圖6之步驟612與614)。
    ● 步驟714:外掛模組PI將從伺服器30所發出的回應中之伺服器會話識別碼IDs替換為步驟612中所產生之中繼會話識別碼IDm,並回傳給網路傳輸單元27,而網路傳輸單元27可將回應呈現給使用者。
    值得說明的是,上述圖6與圖7所示之步驟,其中資料的傳送可全程加密,例如可使用HTTPS協定,以進一步保障安全性。
    在不脫離本發明精神或必要特性的情況下,可以其他特定形式來體現本發明。應將所述具體實施例各方面僅視為解說性而非限制性。因此,本發明的範疇如隨附申請專利範圍所示而非如前述說明所示。所有落在申請專利範圍之等效意義及範圍內的變更應視為落在申請專利範圍的範疇內。
    10...資訊設備
    12...記憶體
    14...處理器
    20、20a、20b、25...客戶端終端
    22、27...網路傳輸單元
    30...伺服器
    AP...程式
    ST...會話表
    IDm...中繼會話識別碼
    IDs...伺服器會話識別碼
    為了立即瞭解本發明的優點,請參考如附圖所示的特定具體實施例,詳細說明上文簡短敘述的本發明。在瞭解這些圖示僅描繪本發明的典型具體實施例並因此不將其視為限制本發明範疇的情況下,參考附圖以額外的明確性及細節來說明本發明,圖式中:
    圖1為一種依據本發明具體實施例之資訊設備示意圖;
    圖2與圖5為係依據本發明具體實施例之系統架構圖;
    圖3至圖7為依據本發明具體實施例之方法流程圖;
    圖8為依據本發明具體實施例之會話表。
    权利要求:
    Claims (10)
    [1] 一種用以處理在一客戶端終端與一伺服器間網路通訊之會話(session)的方法,其中該客戶端終端具有一網路傳輸單元(transport unit),該方法包含:擷取該網路傳輸單元所發出一請求(request);為該客戶端終端產生一中繼(intermediate)會話識別碼;通知該伺服器建立一會話;在該會話建立後,接收該伺服器利用一伺服器會話識別碼所發出之一回應(response);將該伺服器會話識別碼關聯至該中繼會話識別碼;以及利用該中繼會話識別碼傳送該回應給該網路傳輸單元。
    [2] 如請求項1所述之方法,其中為該客戶端終端產生該中繼會話識別碼之步驟更包含:將該客戶端終端之一識別碼關聯至該中繼會話識別碼。
    [3] 如請求項1所述之方法,其中該通知該伺服器建立該會話之步驟更包含:從該網路傳輸單元接收該伺服器所需之一登入資訊;以該登入資訊登入該伺服器。
    [4] 如請求項3所述之方法,其中在接收該伺服器所需之該登入資訊之步驟前,該通知該伺服器建立該會話之步驟更包含:回傳一登入頁面該網路傳輸單元,以提示該客戶端終端之使用者提供該登入資訊。
    [5] 如請求項4所述之方法,其中回覆該登入頁面之步驟更包含:從該伺服器取得該登入頁面。
    [6] 一種用以處理在一客戶端終端與一伺服器間網路通訊之會話的方法,其中客戶端終端具有一網路傳輸單元,該方法包含:在該伺服器為該客戶端終端建立一會話後,接收該伺服器利用一伺服器會話識別碼所發出之一回應;將該伺服器會話識別碼替換為一中繼會話識別碼;利用該中繼會話識別碼傳送該回應給該網路傳輸單元。
    [7] 如請求項6所述之方法,更包含:將該中繼會話識別碼關聯至該伺服器會話識別碼;其中在該傳送該回應給該網路傳輸單元之步驟後,該方法更包含:擷取該網路傳輸單元利用該中繼會話識別碼所發出之一請求;將該中繼會話識別碼替換為該伺服器會話識別碼;利用該伺服器會話識別碼傳送該請求至該伺服器。
    [8] 如請求項1至7任一項所述之方法,其中該方法係由設置於該客戶端終端與該伺服器之間一資訊設備或是該網路傳輸單元之一外掛模組所實施。
    [9] 一種電腦可讀媒體,儲存有一程式碼,供於設置於該客戶端終端與該伺服器之間一資訊設備或是該客戶端上執行時,進行如請求項1至7中任一項之方法。
    [10] 一種資訊設備,設置且連結於一客戶端終端與一伺服器之間,供該客戶端終端存取該伺服器所提供之服務,該資訊設備包含:一處理器,係根據一程式碼,執行如請求項請求項1至7中任一項之方法。
    类似技术:
    公开号 | 公开日 | 专利标题
    JP5933827B2|2016-06-15|機器同士の間の通信セッション転送
    US9130935B2|2015-09-08|System and method for providing access credentials
    CN104144163B|2019-06-11|身份验证方法、装置及系统
    CN101977383A|2011-02-16|网络接入的认证处理方法、系统、客户端和服务器
    CN107438074A|2017-12-05|一种DDoS攻击的防护方法及装置
    US8875270B2|2014-10-28|ID authentication system, ID authentication method, and non-transitory computer readable medium storing ID authentication program
    CN104283681B|2018-02-06|一种对用户的合法性进行验证的方法、装置及系统
    CN108881308B|2021-10-12|一种用户终端及其认证方法、系统、介质
    CN109548022B|2021-07-13|一种移动终端用户远程接入本地网络的方法
    TWI569614B|2017-02-01|處理網路通訊之會話的方法、資訊設備、與電腦可讀媒體
    CN104580553A|2015-04-29|网络地址转换设备的识别方法和装置
    US10708326B2|2020-07-07|Secure media casting bypassing mobile devices
    US20180295162A1|2018-10-11|Communications methods, apparatus and systems for correlating registrations, service requests and calls
    KR20130057678A|2013-06-03|인증서 검증 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
    US10693854B2|2020-06-23|Method for authenticating a user, corresponding server, communications terminal and programs
    CN104580154A|2015-04-29|Web服务安全访问方法、系统及相应的服务器
    JP5319575B2|2013-10-16|通信方法および通信システム
    WO2016050133A1|2016-04-07|一种认证凭证更替的方法及装置
    CN108370369A|2018-08-03|使用重定向促进客户端设备和应用服务器之间安全通信的网关、客户端设备和方法
    JP2008199420A|2008-08-28|ゲートウェイ装置および認証処理方法
    JP2015099595A|2015-05-28|データネットワーク上で1つのサービスのユーザアカウントにアクセスするための認証方法および認証デバイス
    CN108605047B|2021-03-02|用于安全地连接到远程服务器的设备和方法
    CN107547618A|2018-01-05|一种会话拆除方法和装置
    CN108123918A|2018-06-05|一种账户认证登录方法及装置
    US10277586B1|2019-04-30|Mobile authentication with URL-redirect
    同族专利:
    公开号 | 公开日
    US20130054823A1|2013-02-28|
    US9565210B2|2017-02-07|
    TWI569614B|2017-02-01|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    US5475826A|1993-11-19|1995-12-12|Fischer; Addison M.|Method for protecting a volatile file using a single hash|
    US6058399A|1997-08-28|2000-05-02|Colordesk, Ltd.|File upload synchronization|
    GB2337671B|1998-05-16|2003-12-24|Ibm|Security mechanisms in a web server|
    US6263348B1|1998-07-01|2001-07-17|Serena Software International, Inc.|Method and apparatus for identifying the existence of differences between two files|
    US6449613B1|1999-12-23|2002-09-10|Bull Hn Information Systems Inc.|Method and data processing system for hashing database record keys in a discontinuous hash table|
    AU6758101A|2000-07-15|2002-01-30|Filippo Costanzo|Audio-video data switching and viewing system|
    US7043455B1|2000-07-28|2006-05-09|International Business Machines Corporation|Method and apparatus for securing session information of users in a web application server environment|
    US7003799B2|2001-01-30|2006-02-21|Hewlett-Packard Development Company, L.P.|Secure routable file upload/download across the internet|
    US20020176378A1|2001-05-22|2002-11-28|Hamilton Thomas E.|Platform and method for providing wireless data services|
    US7363376B2|2001-07-31|2008-04-22|Arraycomm Llc|Method and apparatus for generating an identifier to facilitate delivery of enhanced data services in a mobile computing environment|
    US20030028768A1|2001-08-01|2003-02-06|Leon Lorenzo De|Inter-enterprise, single sign-on technique|
    US6678791B1|2001-08-04|2004-01-13|Sun Microsystems, Inc.|System and method for session-aware caching|
    WO2003017123A1|2001-08-16|2003-02-27|Redline Networks, Inc.|System and method for maintaining statefulness during client-server interactions|
    CA2379082A1|2002-03-27|2003-09-27|Ibm Canada Limited-Ibm Canada Limitee|Secure cache of web session information using web browser cookies|
    US7359933B1|2002-09-26|2008-04-15|Oracle International Corporation|Providing remote access to network applications using a dual proxy|
    US20040088349A1|2002-10-30|2004-05-06|Andre Beck|Method and apparatus for providing anonymity to end-users in web transactions|
    US20050188079A1|2004-02-24|2005-08-25|Covelight Systems, Inc.|Methods, systems and computer program products for monitoring usage of a server application|
    US7487353B2|2004-05-20|2009-02-03|International Business Machines Corporation|System, method and program for protecting communication|
    US7984163B2|2005-01-13|2011-07-19|Flash Networks, Inc.|Method and system for optimizing DNS queries|
    JP4806008B2|2005-08-31|2011-11-02|テレフオンアクチーボラゲットエルエムエリクソン(パブル)|Imsノード、情報ノード、ユーザノード、アクセス制御システム、ユーザノードと情報ノードとの間で仲介を行う方法、imsノードと通信する方法|
    US7908649B1|2005-09-20|2011-03-15|Netapp, Inc.|Method and apparatus for providing efficient authorization services in a web cache|
    US7467353B2|2005-10-28|2008-12-16|Microsoft Corporation|Aggregation of multi-modal devices|
    JP4742903B2|2006-02-17|2011-08-10|日本電気株式会社|分散認証システム及び分散認証方法|
    US8079076B2|2006-11-02|2011-12-13|Cisco Technology, Inc.|Detecting stolen authentication cookie attacks|
    US8214635B2|2006-11-28|2012-07-03|Cisco Technology, Inc.|Transparent proxy of encrypted sessions|
    US8639247B2|2006-12-12|2014-01-28|Ericsson Evdo Inc.|Access terminal session authentication|
    US20080148366A1|2006-12-16|2008-06-19|Mark Frederick Wahl|System and method for authentication in a social network service|
    US9749404B2|2008-04-17|2017-08-29|Radware, Ltd.|Method and system for load balancing over a cluster of authentication, authorization and accounting servers|
    US8219802B2|2008-05-07|2012-07-10|International Business Machines Corporation|System, method and program product for consolidated authentication|
    US20100106841A1|2008-10-28|2010-04-29|Adobe Systems Incorporated|Handling Proxy Requests in a Computing System|
    US20100175120A1|2009-01-06|2010-07-08|Chung-Nan Tien|Multi-layer data mapping authentication system|
    US20110296048A1|2009-12-28|2011-12-01|Akamai Technologies, Inc.|Method and system for stream handling using an intermediate format|
    US8982893B2|2010-03-04|2015-03-17|Telefonaktiebolaget L M Ericsson |System and method of quality of service enablement for over the top applications in a telecommunications system|
    US20120166627A1|2010-12-28|2012-06-28|Stephen Kraiman|Monitoring and managing a http session independent of client and server configurations|
    US8649768B1|2011-08-24|2014-02-11|Cellco Partnership|Method of device authentication and application registration in a push communication framework|CN104426745B|2013-09-02|2018-10-02|腾讯科技(北京)有限公司|交互信息的传输方法、公共平台、终端及系统|
    US10977376B1|2016-10-04|2021-04-13|Hrl Laboratories, Llc|Method for session workflow information flow analysis|
    US11017082B1|2016-10-04|2021-05-25|Hrl Laboratories, Llc|Method for session workflow information flow analysis|
    法律状态:
    优先权:
    申请号 | 申请日 | 专利标题
    TW100131055A|TWI569614B|2011-08-30|2011-08-30|處理網路通訊之會話的方法、資訊設備、與電腦可讀媒體|TW100131055A| TWI569614B|2011-08-30|2011-08-30|處理網路通訊之會話的方法、資訊設備、與電腦可讀媒體|
    US13/591,592| US9565210B2|2011-08-30|2012-08-22|Appliance for processing a session in network communications|
    [返回顶部]