安全访问远程系统

摘要

一种安全访问远程设施(200)内的若干计算系统(208，210，212)的方法包括：利用移动计算系统(206)，从集中数据库中检出访问数据，该访问数据提供对远程设施内的若干计算系统的访问。该移动计算系统然后与第一计算系统(208)连接，该第一计算系统不能让访问准则从远程地点(202)改变。该移动计算系统然后在不向用户揭示检出的访问数据的情况下，使用检出的访问数据向用户(204)提供对第一计算系统的访问。

说明书

技术领域

本发明的一些方面一般涉及远程系统安全，尤其涉及允许访问远程设施 的安全方法。许多机构和实体都运行远程设施。这些远程设施可以运行或监 视各种类型的装备。例如，公用事业公司往往运行处在远程地点上的变电站。 这些远程地点内的计算系统可能配有与像互联网那样的网络的连接。

背景技术

在一些情况下，为了安全起见，变电站内的某些计算系统可能未与网络 连接。一旦正确输入了适当密码，就可能允许访问这样的计算系统。运行这 样远程设施的实体往往外包要对这样的设施进行的维护工作。为了使承包商 可以进行适当维护工作，不得不将适当密码和任何其它访问准则提供给他或 她。因为一些计算系统未与网络连接，所以不能远程地改变密码。该密码往 往在希望使用该系统的几个人之间共享。这违背了让密码保护敏感网络资产 的目的。因此，按照多种多样的安全标准，可以认为向承包商提供访问数据 存在安全风险。

发明内容

一种安全访问远程设施内的若干计算系统的方法包括：利用移动计算系 统，从集中数据库中检出访问数据，该访问数据提供对远程设施内的若干计 算系统的访问；利用移动计算系统，与若干计算系统的第一计算系统连接， 该第一计算系统不能让访问准则从远程地点改变；以及利用移动计算系统， 在不向用户揭示检出的访问数据的情况下，使用检出的访问数据向用户提供 对第一计算系统的访问。

一种移动计算系统包括处理器和可通信地与该处理器耦合的存储器。该 处理器被配置成从集中数据库中检出访问数据，该访问数据提供对远程设施 内的若干计算系统的访问；与若干计算系统的第一计算系统连接，该第一计 算系统不能让访问准则从远程地点改变；以及在不向用户揭示检出的访问数 据的情况下，使用检出的访问数据向用户提供对第一计算系统的访问。

一种允许安全访问远程设施的计算机程序产品包括含有随之具体化的计 算机可读代码的计算机可读存储介质。该计算机可读代码包括配置成检出来 自远程地点的访问数据的计算机可读程序代码，该访问数据提供对远程设施 内的若干计算系统的访问；配置成与若干计算系统的第一计算系统连接的计 算机可读程序代码，该第一计算系统不能让访问准则从远程地点改变；以及 配置成在不向用户揭示检出的访问数据的情况下，使用检出的访问数据向用 户提供对第一计算系统的访问的计算机可读程序代码。

一种安全访问远程系统的方法包括：利用移动计算系统，检出来自远程 地点的访问数据，该访问数据提供对远程设施内的若干计算系统的访问；利 用移动计算系统，与计算系统计算系统之一连接；利用移动计算系统，如果 计算系统之一不能让访问准则从远程地点改变，则不用向用户揭示检出的访 问数据地使用检出的访问数据向用户提供对计算系统之一的访问；以及利用 移动计算系统，如果计算系统之一可以让它的访问准则从远程地点改变，则 向用户提供对计算系统之一的检出访问数据。

附图说明

附图例示了本文所述的原理的各种实施例并作为本说明书的一部分。例 示的实施例仅仅是示例，而不是限制权利要求书的范围。

图1是示出按照本文所述的原理的一个示例的说明性物理计算系统的图 形；

图2是示出按照本文所述的原理的一个示例的说明性远程系统的图形；

图3是示出按照本文所述的原理的一个示例的访问远程设施内的计算系 统的说明性过程的流程图；以及

图4是示出按照本文所述的原理的一个示例的安全访问远程系统的说明 性方法的流程图。

在所有附图中，相同标号表示相似，但未必相同的元件。

具体实施方式

如上所述，永久地向承包商提供访问数据可能被视为存在安全风险。如 果远程设施内的计算系统与网络连接，则可以远程地改变用于进入该计算系 统的访问数据。但是，如果远程设施内的计算系统未与网络连接，则不能从 远程地点改变用于进入该计算系统的访问数据。因此，如果不能容易地或频 繁地改变访问数据，则向承包商提供变电站装备的访问数据可能代表安全风 险。

本说明书公开了允许用户安全地访问远程设施内的计算系统的方法和系 统。按照某些说明性示例，向用户提供诸如膝上型计算机那样的移动计算系 统。这种膝上型计算机可以含有用于访问远程设施内的计算系统、安装在上 面的特定应用程序。这种应用程序被称为远程安全访问应用程序。

一旦进入远程设施中，用户就可以使用他或她的移动计算系统获取远程 设施内的计算系统的访问数据。该访问数据可以从与集中数据库相联系的可 信元库中获得。这个过程被称为“检出”访问数据。移动计算系统可以通过 像无线或移动网络连接那样的多种手段访问集中数据库。

向用户提供对远程设施内的特定计算系统的访问的方式取决于特定计算 系统的性质。具体地说，如果远程设施内的特定计算系统不能让它的访问准 则远程改变，则不向用户提供已经从可信元库检出的那个计算系统的访问数 据。而是，移动计算系统可以与不能让它的访问准则远程改变的计算系统连 接，并使用检出的访问数据向用户提供访问。用户实际上决不会看到访问数 据。一旦完成远程设施上的工作，用户将“归还(check in)”访问数据。因 此，在未从远程设施的运营商得到授权的情况下，用户在以后的时间里将不 能再次访问那个计算系统。

如果远程设施内的特定计算系统可以让它的访问准则从远程地点改变和 不自己保存用户的元库，则移动计算系统可以向用户提供那个计算系统的检 出访问数据。例如，可以向用户提供对于那个用户来说唯一的或对于那个特 定计算系统来说唯一的用户名和密码。当用户在远程设施上完成了他或她的 工作时，可以远程改变那个系统的访问准则。因此，向用户提供访问数据的 方式是无关紧要的，因为可以远程改变它。因此，在没有来自远程设施的运 营商的授权的情况下，用户将不能再次访问那个系统。此外，没有给用户提 供如何从可信元库检出访问数据的细节。

通过使用体现本文所述的原理的方法和系统，可以在不损害所定义安全 标准的情况下向用户提供对远程设施内的计算系统的访问。向这样的用户提 供对具有不能从远程地点改变的访问准则的计算系统的访问。这种访问是在 用户从未意识到用于访问那些计算系统的访问数据的情况下提供的。

所属技术领域的技术人员知道，本发明的各个方面可以实现为系统、方 法或计算机程序产品。因此，本发明的各个方面可以具体实现为以下形式， 即：完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微 代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模 块”或“系统”。此外，在一些实施例中，本发明的各个方面还可以实现为在 一个或多个计算机可读介质中的计算机程序产品的形式，该计算机可读介质 中包含计算机可读的程序代码。

可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以 是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如 可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装 置或器件，或者任意以上的组合。计算机可读存储介质的更具体的示例(非 穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机盘、硬盘、 随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器 (EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、 磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介 质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装 置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数 据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用 多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组 合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机 可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、 装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括— —但不限于——无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作 的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如 Java、Smalltalk、C++等，还包括常规的过程式程序设计语言—诸如“C”语 言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分 地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上 部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及 远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网 (LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例 如利用因特网服务提供商来通过因特网连接)。

下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品 的流程图和/或框图描述本发明。应当理解，流程图和/或框图的每个方框以及 流程图和/或框图中各方框的组合，都可以由计算机程序指令实现。这些计算 机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置 的处理器，从而生产出一种机器，使得这些计算机程序指令在通过计算机或 其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的 一个或多个方框中规定的功能/动作的装置。

也可以把这些计算机程序指令存储在计算机可读介质中，这些指令使得 计算机、其它可编程数据处理装置、或其他设备以特定方式工作，从而，存 储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个 或多个方框中规定的功能/动作的指令的制造品(article of manufacture)。

也可以将计算机程序指令装载到计算机、其它可编程数据处理装置、或 其它设备上使一系列操作步骤在计算机、其它可编程装置、或其它设备上得 到执行，形成计算机实现过程，以便在计算机或其它可编程装置上执行的指 令提供实现在流程图和/或框图中的一个或多个方框中规定的功能/动作的过 程。

在整个本说明书中以及在所附权利要求中，术语“访问数据”应广义地 解释为为了访问计算系统的目的从使用人员或另一个计算系统提供给那个计 算系统的数据。访问数据可以包括，例如，用户名和密码。

在整个本说明书中以及在所附权利要求中，术语“访问准则”指的是访 问特定计算系统所需的特定访问数据。例如，特定计算系统的访问准则可以 是用于访问那个计算系统的一组特定用户名和密码组合。

现在参照图1，图1是示出可以用于允许访问远程设施内的计算系统的 说明性物理计算系统(100)的图形。按照某些说明性示例，物理计算系统(100) 包括让软件(104)和数据(106)存储在上面的存储器(102)。物理计算系 统(100)还包括处理器(108)和用户接口(110)。

存在许多类型的可用存储器。像固态驱动器那样的一些类型存储器是为 存储而设计的。这些类型的存储器通常具有大的存储容量但性能相对较低。 像用于随机存取存储器(RAM)的那些那样的其它类型存储器是为速度优化 的，往往称为“工作存储器”。各种形式的存储器可以以软件(104)和数据 (106)的形式存储信息。

物理计算系统(100)还包括执行软件(104)和使用或更新存储在存储 器(102)中的数据(106)的处理器(108)。软件(104)可以包括操作系统。 操作系统使其它应用程序可以适当地与物理计算系统的硬件交互。这样的其 它应用程序可以包括管理存储在远程设施内的计算系统的访问数据的那些应 用程序。

用户接口(110)可以提供用户(112)与物理计算系统(100)交互的手 段。用户接口可以包括与使用人员(112)连接的设备的任何集合。例如，用 户接口(110)可以包括像键盘或鼠标那样的输入设备、和像监视器那样的输 出设备。

网络接口(114)使计算系统可以通过网络与其它计算系统连接。网络接 口(114)可以是通过物理电缆与网络连接的硬布线接口。在一些情况下，网 络接口(114)可以经由无线连接与网络连接。

图2是示出说明性远程设施(200)的图形。远程设施(200)也经由网 络连接(220)与远程地点(202)连接。远程地点可以包括与可信元库(218) 相关联的集中数据库(216)。远程地点(202)可以是，例如，运行远程设施 (200)的实体的操作中心。在远程设施(200)内，各种类型的计算系统可 以用于运行或监视多个各种装备。为了例示的目的，将远程设施内的计算系 统的特点分成三个一般类别。

第一类计算系统被称为类型A计算系统。类型A计算系统是自己保存用 户的元库以及用于那些用户的访问数据的那一种。类型A计算系统也可以与 远程地点连接，并且让它的用户元库可以从远程地点访问。因此，运行远程 设施的实体如果需要的话，可以对类型A计算系统的用户的元库进行改变。 因为类型A系统自己保存用户的元库，以及对那些用户指定唯一访问数据， 所以能够保存谁访问这种类型的计算系统的精确、负责任日志。另外，可以 从远程地点(202)加入，删除或修改用户。因此，如果当前未授权访问类型 A计算系统(208)的承包商现在需要访问，则承包实体可以从远程地点(202) 加入那个用户。另外，承包实体可以向承包商提供他或她新创建的对那个类 型A计算系统的访问数据。

第二类计算系统被称为类型B计算系统(210)。类型B计算系统(210) 不保存用户的元库。而是，可以将不与特定用户相联系的单组访问数据用于 访问类型B计算系统(210)。而且，可以从远程地点(202)改变像允许访问 类型B计算系统(210)的用户名和密码那样的访问准则。当承包商需要访问 类型B计算系统(210)时，可以向他或她提供那个系统的用户名和密码。但 是，一旦分配完成，就可以从远程地点改变类型B计算系统(210)的用户名 和密码。因此，保持类型B计算系统(210)的安全性。

第三类计算系统被称为类型C计算系统(212)。与类型A计算系统(208) 和类型B计算系统(210)两者不同，类型C计算系统(212)不能让它的访 问准则从远程地点改变。这可能是因为类型C计算系统未与外部网络连接。 可替代地，可以将类型C计算系统(212)与外部网络连接。但是，可以设置 类型C计算系统(212)，使得只能从本地控制台改变访问准则。向承包商提 供对类型C计算系统(212)的访问数据会带来安全风险，导致各种安全标准 遭受破坏。这是因为除了雇员之外，现在允许承包商超出他或她使用访问需 要的持续时间地永久访问安全系统。因为不能远程改变访问准则，所以在承 包商完成了工作时，也不能取消访问。

允许承包商通过使用安装在他或她移动计算系统上的远程安全访问应用 程序访问类型C计算系统。具体地说，通过使用远程安全访问应用程序，承 包商可以检出类型C计算系统的访问数据。这种访问数据实际上未向用户显 示。而是，移动计算系统与类型C计算系统连接，向用户提供对类型C计算 系统的访问。因此，决不会向承包商提供类型C计算系统的用户名和密码或 其它访问数据。一旦完成了工作，承包商接着将访问数据归还给集中数据库。 因此，再次访问的唯一方式是要求来自承包实体的授权。

图3是示出访问远程设施内的计算系统的说明性过程(300)的流程图。 在一个示例中，为运行远程设施的实体指定承包商对远程设施进行一些维护 工作。承包实体可以向承包商提供像膝上型计算机或个人数字助理(PDA) 那样能够与远程设施的计算系统连接的移动计算系统。可替代地，承包实体 可以向承包商提供承包商可以安装在他或她自己的移动计算系统上的计算机 程序。无论安装在承包实体拥有的计算系统上还是安装在承包商的计算系统 上，这种应用程序都被称为远程安全访问应用程序。

按照某些说明性示例，承包商访问和进入远程设施中。在一些情况下， 可以向承包商提供将向承包商提供对远程设施的访问的钥匙或钥匙卡。承包 商可以使用他或她的移动计算系统与允许运行在承包商的移动计算系统上的 远程安全访问应用程序与承包实体的集中数据库连接的外部网络连接。承包 商然后可以检出(302)远程设施内的若干计算系统的访问数据。情况可能是 承包商只接收设施内的所有计算系统的一个子集的访问数据。例如，如果只 雇用承包商对一个子集的计算系统的进行维护，则可以只允许他或她访问那 些计算系统。

承包商可以使用检出的访问数据访问(方框304)远程设施内的计算系 统之一。计算系统访问的方式取决于那个计算系统的类型。因此，首先确定 (判定306)要访问的计算系统是否是类型A计算系统。如果正在访问的计 算系统的确是(判定306，是)类型A计算系统，则访问计算系统包括让承 包商以对那个承包商唯一的用户名和密码进入。如果承包商还没有这个访问 数据，则他或她可以在网络上向承包实体请求。可以将访问数据预先提供给 远程元库，以便当雇员或承包商使用计算系统时，使用他或她的唯一访问数 据使他或她的访问得到记录，因此是可追踪的。可以向承包商显示提供的访 问数据，以便他或她可以将其输入他或她正在尝试访问的类型A计算系统中。

如果确定要访问的计算系统不是(判定306，否)类型A计算系统，则 确定(判定308)计算系统是否是类型B计算系统。如果要访问的计算系统 的确是(判定308，是)类型B计算系统，则可以向承包商提供(方框310) 那个计算系统的访问数据。在一个示例中，远程安全访问应用程序向承包商 显示访问类型B计算系统的用户名和密码。在一些情况下，远程安全访问应 用程序直接将用户登录到类型B计算系统中。当承包商在完成了他或她的作 业之后登出时，承包实体可以改变(方框314)那个类型B计算系统的访问 数据。因此，在未首先得到来自承包实体许可和更新的访问数据的情况下， 承包商将不能再次访问类型B计算系统。

如果确定要访问的计算系统不是(判定308，否)类型B计算系统，则 必然是类型C计算系统。这样，移动计算系统将与要访问的计算系统连接(方 框312)，在未向用户提供访问信息的情况下，为承包商访问那个计算系统。 在一个示例中，可以按需从由承包实体管理的安全应用程序内的凭证保险库 系统中获取类型C计算系统的访问数据。

在一个示例中，承包商的移动计算系统经由直接硬布线连接与类型C计 算系统连接。具体地说，承包商可以连接移动计算系统与类型C计算系统之 间的网络电缆。可替代地，可以将类型C计算系统与远程设施内部的网络连 接。在这种情况下，用户可以通过这个内部网络与类型C计算系统连接。

在一些情况下，远程安全访问应用程序可能包括用户在移动计算系统上 输入他或她的用户名和密码的单点登录特征。与授权用户工作的远程设施内 的所有计算系统连接的移动计算系统然后可以为用户访问远程设施内的那些 计算系统的每一个。因此，用户不必知道或单独输入每个计算系统的访问数 据。在一些情况下，单点登录特征可能不访问远程计算系统内的每个计算系 统，由于一些计算系统可能不与单点登录特征兼容。

图4是示出安全访问远程系统的说明性方法(400)的流程图。按照某些 说明性示例，该方法包括：利用移动计算系统，接收(方框402)来自远程 地点的访问数据，该访问数据提供对远程设施内的若干计算系统的访问。该 方法进一步包括，利用移动计算系统，与若干计算系统的第一计算系统连接 (方框404)，第一计算系统不能让访问准则从远程地点改变，以及利用移动 计算系统，在不向用户揭示第一计算系统的访问数据的情况下，使用访问数 据向用户提供(方框406)对第一计算系统的访问。

总之，通过使用体现本文所述的原理的方法和系统，可以不损害所定义 安全标准地向用户提供对远程设施内的计算系统的访问。向这样的用户提供 对具有不能从远程地点改变的访问准则的计算系统的访问。这种访问是在用 户从未意识到用于访问那些计算系统的访问数据的情况下提供的。

附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和 计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或 框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、 程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指 令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以 不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并 行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也 要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框 的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或 者可以用专用硬件与计算机指令的组合来实现。

本文所使用的术语只是为了描述具体实施例的目的而无意限制本发明。 如本文所使用，单数形式“一个”、“一种”和“该”也有意包括复数形式， 除非上下文另有明确指示。还要明白，术语“包含”当用在本说明书中，规 定存在所述的特征、整数、步骤、操作、元件、和/或组件，但不排除存在或 附加一个或多个其他特征、整数、步骤、操作、元件、组件、和/或它们的群 体。

所附权利要求书中的所有部件或步骤以及功能元件的相应结构、材料、 动作以及等价物旨在包括如具体要求保护结合其他所要求保护的元件执行功 能的任何结构、材料或动作。展示本发明的描述是为了例示和描述的目的， 但不是穷尽性的或使本发明限于所公开的形式。许多修改和变化对本领域普 通技术人员来说是明显的，不偏离本发明的范围和精神。选择和描述实施例 是为了最佳地说明本发明的原理和实际应用，并使本领域普通技术人员能够 针对如适于设想的特定用途地作出各种修改的各种实施例理解本发明。

展示本发明的各种实施例的描述是为了例示的目的，但不是穷尽性的或 局限于所公开的实施例。许多修改和变化对本领域普通技术人员来说是显而 易见的，不偏离所述实施例的范围和精神。本文使用的术语被选成最佳地说 明实施例的原理、实际应用或超过在市场上找到的技术的技术改进，或使本 领域的其他普通技术人员能够理解本文公开的实施例。