Nothing Special   »   [go: up one dir, main page]

CN113114643B - 一种运维审计系统的运维接入方法及系统 - Google Patents

一种运维审计系统的运维接入方法及系统 Download PDF

Info

Publication number
CN113114643B
CN113114643B CN202110342047.6A CN202110342047A CN113114643B CN 113114643 B CN113114643 B CN 113114643B CN 202110342047 A CN202110342047 A CN 202110342047A CN 113114643 B CN113114643 B CN 113114643B
Authority
CN
China
Prior art keywords
maintenance
session
module
connection
data packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110342047.6A
Other languages
English (en)
Other versions
CN113114643A (zh
Inventor
黄代平
范渊
吴永越
郑学新
刘韬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu DBAPPSecurity Co Ltd
Original Assignee
Chengdu DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu DBAPPSecurity Co Ltd filed Critical Chengdu DBAPPSecurity Co Ltd
Priority to CN202110342047.6A priority Critical patent/CN113114643B/zh
Publication of CN113114643A publication Critical patent/CN113114643A/zh
Application granted granted Critical
Publication of CN113114643B publication Critical patent/CN113114643B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0609Buyer or seller confidence or verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5077Network service management, e.g. ensuring proper service fulfilment according to agreements wherein the managed service relates to simple transport services, i.e. providing only network infrastructure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种运维审计系统的运维接入方法及系统,所述系统包括运维审计服务器、运维客户端,所述运维审计服务器包括TunServ模块;所述运维客户端包括TunCli模块。收到运维请求后创建运维会话并生成会话ID,同时以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。本发明实现了在不依赖具体应用协议的情况下实现对运维接入的访问控制,本发明提供了更好的运维接入兼容性,较好的提升开发人员对运维接入的开发效率,提高了用户体验。

Description

一种运维审计系统的运维接入方法及系统
技术领域
本发明属于运维审计的技术领域,具体涉及一种运维审计系统的运维接入方法及系统。
背景技术
实现对各种应用资源(如SSH、RDP、各种数据库服务等)的运维接入,并提供对应用资源的访问授权、访问控制等功能,是一个运维审计系统最基础且最核心的功能,这就要求运维审计系统必须实现对应用的网络连接进行认证和授权,即用户在使用某一运维工具连接目标资产时,运维审计系统必须识别连接发起端(即客户端)的用户身份,并检查这个用户身份是否具有访问目标资产的权限。
对于一个运维审计系统,用户发起一次运维请求至少包含的信息有:用户名、用户密码、资产IP、资产端口、资产账户,其一般流程如下:
1.用户通过运维工具向运维审计服务器(的应用端口)发起连接,并发送上述信息;
2.服务器先通过用户名和用户密码来验证用户的身份,以确保此请求合法;然后检索是否存在由指定资产IP、资产端口、资产账户唯一标识的目标资产,并检查用户是否有权访问对应目标资产(由运维管理员配置)。
3.如果认证及授权通过,则服务器直接连接目标资产,并开始转发运维工具和目标资产之间的通讯数据,直到完成运维操作。
但这存在一个很大的缺陷,即上述信息必须通过应用协议本身进行传输,因此开发人员需要对具体应用协议以及相应运维工具进行预研,以确定是否能够以及如何在相应运维工具下的具体应用协议中携带这些额外信息,每一种应用协议的内部实现是不同的,而且同一应用协议在不同运维工具上表现也可能不一致,因此开发人员需要针对各种应用协议以及各种运维工具做调研和适配工作,导致系统的开发和维护工作量增加;而且即使以这种方式做到了运维接入,也会影响用户对运维工具的使用体验。在不改变用户网络环境的前提下,有两类解决方案:端口转发和隧道技术。
端口转发:在运维审计服务器收到来自运维客户端发起的运维请求并完成权限检查、会话创建后,直接在运维审计服务器上开放临时端口,用户一旦使用相应运维工具连接此服务器端口,系统即将从此端口收到的数据直接转发到目标资产,完成运维流程。此方案无需使用隧道即可完成运维接入,但此方案由于引入了以下几个缺陷导致无法应用在运维审计系统中:
1.端口本应仅开放给指定授权用户访问,但实际上任何人(包括未认证用户)均可通过这个端口(冒充授权用户)访问目标资产,因此不具备安全性。
2.为防止恶意端口扫描,运维管理员通常会配置防火墙仅允许有限的固定端口被外部访问,在此情况下运维服务器临时开放的端口无法被用户访问,也就无法顺利完成运维操作。
3.单台服务器可用的监听端口数量是有限制的(最多6万个左右),因此当同时接入的运维请求数过高时,可用端口将耗尽并导致无法继续运维请求。
隧道技术:将运维审计系统对网络连接的认证和授权放到隧道协议中,同时将隧道映射到一个本地端口,后续运维工具连接这个服务器端口,即可实现运维接入。针对不同的隧道协议实现,对隧道的认证和授权实现是不同的。常用的SSH隧道:通过隧道的正向代理,可以将转发端口映射到用户本地,从而避免直接端口转发方案中的缺陷。但在运维审计系统中使用SSH隧道却不是一个最好的方案,因为SSH隧道使用目标网络地址(IP)和目标端口(PORT)进行隧道连接,而在运维审计系统中,只有IP和PORT是不足以唯一标识目标资产的。因此无法直接使用SSH隧道实现本发明的目标。
基于以上方案的缺陷,本发明提供一种通用的、安全的,用于在运维审计系统中提供运维接入能力的方法,以实现在不依赖具体应用协议的情况下也可以完成运维接入。
发明内容
本发明的目的在于提供一种运维审计系统的运维接入方法,实现在不依赖具体应用协议的情况下也可以完成运维接入,本发明提供了更好的运维接入兼容性,较好的提升开发人员对运维接入的开发效率。
本发明的目的还在于供一种运维审计系统的运维接入系统,通过TunServ模块与TunCli模块以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,所述会话通道中经隧道协议处理过的消息包含了会话ID,进而唯一确定目标资产。
本发明主要通过以下技术方案实现:一种运维审计系统的运维接入方法,收到运维请求后创建运维会话并生成会话ID,同时以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。
为了更好地实现本发明,进一步地,主要包括以下步骤:
步骤S100:通过运维客户端向运维审计服务器发起对资产的运维请求,服务器收到运维请求,如果认证及授权通过,建立运维会话,并向运维客户端返回会话ID;
步骤S200:运维客户端接收到会话ID后,通过TunCli模块创建一个与会话ID关联的会话通道实例,并监听一个临时分配的本地端口,启动对应的运维工具,运维工具连接被监听的本地端口并开始运维;
步骤S300:运维客户端TunCli模块接收到来自运维工具发出的原始消息后,对消息进一步封装为数据包,封装后的数据包包含运维会话ID或连接ID,然后将数据包发送给运维审计服务器的TunServ模块;
步骤S400:运维审计服务器的TunServ模块收到封装的数据包后,取得会话ID或者连接ID,并查找与此关联的运维会话;从运维会话中取得资产的信息,然后将数据包中包含的原始消息转发到资产,资产的消息也按原路返回到运维工具。
为了更好地实现本发明,进一步地,所述步骤S100中的运维请求包括能够唯一确定资产的资产ID、资产IP、资产端口、资产账户信息;服务器收到运维请求后检索是否存在指定的资产,并检查用户是否有权访问对应的目标资产。
为了更好地实现本发明,进一步地,所述步骤S100中会话ID为会话唯一标识,所述步骤S300中连接ID与会话ID关联,一个会话ID包含若干个连接ID;所述步骤S300中连接ID为当前会话连接的唯一标识。
为了更好地实现本发明,进一步地,所述步骤S300中当TunCli模块收到来自运维工具的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunServ模块。
为了更好地实现本发明,进一步地,所述步骤S400中,当TunServ模块收到来自目标资产的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunCli模块。
为了更好地实现本发明,进一步地,所述会话通道的通讯步骤如下:
步骤A7:当TunCli模块收到来自运维工具的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunServ模块;
步骤A8:TunServ模块收到data包,通过连接ID取得与目标资产的连接,将data包的负载数据发送给目标资产;
步骤A9:当TunServ模块收到来自目标资产的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunCli模块;
步骤A10:TunCli模块收到data包,通过连接ID取得与运维工具的连接,将data包的负载数据发送给运维工具;至此,运维工具与目标资产之间首次通讯完成,后续通讯重复步骤A7至步骤A10。
为了更好地实现本发明,进一步地,还包括以下步骤:
步骤A1:TunCli模块连接TunServ模块,经过多次通讯完成身份认证,进入就绪状态;
步骤A2:当运维客户端收到会话ID后,TunCli模块开始监听一个临时分配的本地端口A,这个端口A与会话ID是关联的;
步骤A3:当运维工具连接本地端口时,TunCli模块向TunServ模块发送一个connect包,connect包含会话ID;
步骤A4:TunServ模块收到connect包,通过会话ID取得运维会话,进一步取得目标资产的资产信息;
步骤A5:TunServ模块连接目标资产,若连接成功,则生成一个连接ID,所述连接ID至少在同一会话ID下唯一,并向TunCli模块返回accept包,表示接受运维客户端的本次连接;
步骤A6:TunCli模块收到accept包后,标记连接成功,并开始接收运维工具连接的数据。
本发明主要通过以下技术方案实现:一种运维审计系统的运维接入系统,包括运维审计服务器、运维客户端、运维工具和目标资产,所述运维审计服务器包括TunServ模块;所述运维客户端包括TunCli模块;所述TunCli模块用于创建一个与会话ID关联的会话通道实例并监听本地端口;所述TunServ模块用于取得会话ID或连接ID并查找与此关联的运维会话;通过TunServ模块与TunCli模块以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。
为了更形象的理解我们的方案,举例如下:当用户希望与指定市场进行交易时,我们(指运维审计系统)直接在用户的家里(用户PC本地)创建一个虚拟市场(监听一个端口),此虚拟市场通过订单号(会话ID)与某个交易订单(运维会话)关联。一旦用户与此虚拟市场交易,我们就将交易数据放进一个包裹,包裹上写明运单号(连接ID,与会话ID关联,一个会话ID可能包含多个连接ID),然后将此包裹发给总部(运维审计服务器),总部收到包裹后通过运单号查到订单号,进一步查到真实市场(目标资产信息),然后将包裹里面的内容直接发送给真实市场。此时虚拟市场-总部-真实市场之间形成了一条虚拟通道,用户可直接与家中的虚拟市场进行交易。
本发明可以实现的功能如下:
1.提供对任意基于TCP协议的应用的运维接入功能;
2.实现对运维连接的认证、鉴权功能;
3.用于唯一确定目标资产的信息包含但不限于地址(IP)、端口(PORT)、资产账户;
4.对于每个运维会话,运维客户端监听了一个本地端口;
5.使用运维工具(如数据库工具)连接这个本地端口可访问远端资产;
6.运维会话结束后,无法再通过此端口访问远端资产。
本发明的有益效果:
本发明实现了在不依赖具体应用协议的情况下实现对运维接入的访问控制,本发明提供了更好的运维接入兼容性,较好的提升开发人员对运维接入的开发效率,提高了用户体验。
附图说明
图1为本发明的原理框图。
具体实施方式
实施例1:
一种运维审计系统的运维接入方法,收到运维请求后创建运维会话并生成会话ID,同时以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。
本发明实现了在不依赖具体应用协议的情况下实现对运维接入的访问控制,本发明提供了更好的运维接入兼容性,较好的提升开发人员对运维接入的开发效率,提高了用户体验。
实施例2:
本实施例是在实施例1的基础上进行优化,主要包括以下步骤:
步骤S100:通过运维客户端向运维审计服务器发起对资产的运维请求,服务器收到运维请求,如果认证及授权通过,建立运维会话,并向运维客户端返回会话ID;
步骤S200:运维客户端接收到会话ID后,通过TunCli模块创建一个与会话ID关联的会话通道实例,并监听一个临时分配的本地端口,启动对应的运维工具,运维工具连接被监听的本地端口并开始运维;
步骤S300:运维客户端TunCli模块接收到来自运维工具发出的原始消息后,对消息进一步封装为数据包,封装后的数据包包含运维会话ID或连接ID,然后将数据包发送给运维审计服务器的TunServ模块;
步骤S400:运维审计服务器接收到封装的数据包后,设置在运维服务器的TunServ模块取得会话ID或者连接ID,并查找与此关联的运维会话;从运维会话中取得资产的信息,然后将数据包中包含的原始消息转发到资产,资产的消息也按原路返回到运维工具。
本实施例的其他部分与实施例1相同,故不再赘述。
实施例3:
本实施例是在实施例2的基础上进行优化,所述步骤S100中的运维请求包括能够唯一确定资产的资产ID、资产IP、资产端口、资产账户信息;服务器收到运维请求后检索是否存在指定的资产,并检查用户是否有权访问对应的目标资产。
进一步的,所述步骤S100中会话ID为会话唯一标识,所述步骤S300中连接ID与会话ID关联,一个会话ID包含若干个连接ID;所述步骤S300中运维会话ID或连接ID为当前会话连接的唯一标识。
进一步的,所述步骤S300中当TunCli模块收到来自运维工具的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunServ模块。
进一步的,所述步骤S400中,当TunServ模块收到来自目标资产的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunCli模块。
本发明可以实现的功能如下:
提供对任意基于TCP协议的应用的运维接入功能;
实现对运维连接的认证、鉴权功能;
用于唯一确定目标资产的信息包含但不限于地址(IP)、端口(PORT)、资产账户;
对于每个运维会话,运维客户端监听了一个本地端口;
使用运维工具(如数据库工具)连接这个本地端口可访问远端资产;
运维会话结束后,无法再通过此端口访问远端资产。
本实施例的其他部分与上述实施例2相同,故不再赘述。
实施例4:
一种运维审计系统的运维接入方法,如图1所示,主要包括以下步骤:
1.用户通过运维客户端(可以是Web方式或本地客户端)向运维审计服务器(WebServ)发起对资产A的运维请求,请求包含能够唯一确定资产A的一系列信息(如资产ID、资产IP、资产端口、资产账号等,由具体的资产类型决定);服务器收到请求后检索是否存在指定的资产,并检查用户是否有权访问对应目标资产(由运维管理员配置),然后创建运维会话,并向运维客户端返回会话ID(会话唯一标识)。
2.运维客户端收到会话ID后,创建一个与会话ID关联的会话通道实例并监听本地端口A(负责此工作的模块为TunCli),然后启动对应运维工具A。
3.运维工具A连接由TunCli监听的本地端口A,开始运维。
4.TunCli模块收到来自运维工具A发出的原始消息后,对消息进一步封装为数据包,新数据包包含运维会话ID或连接ID(当前会话连接的唯一标识)。然后将封装后的数据包发给运维审计服务器。
5.运维服务器收到经过客户端封装过的数据包后,取得会话ID(或连接ID)并查找与此关联的运维会话(负责此工作的模块为TunServ)。
6.TunServ模块从运维会话中取得资产A的信息,然后将数据包中包含的原始消息转发到资产A。资产A的消息也将按此流程原路返回到运维工具,至此整个运维通讯链路已打通。
本发明可以实现的功能如下:
提供对任意基于TCP协议的应用的运维接入功能;
实现对运维连接的认证、鉴权功能;
用于唯一确定目标资产的信息包含但不限于地址(IP)、端口(PORT)、资产账户;
对于每个运维会话,运维客户端监听了一个本地端口;
使用运维工具(如数据库工具)连接这个本地端口可访问远端资产;
运维会话结束后,无法再通过此端口访问远端资产。
本发明实现了在不依赖具体应用协议的情况下实现对运维接入的访问控制,本发明提供了更好的运维接入兼容性,较好的提升开发人员对运维接入的开发效率,提高了用户体验。
实施例5:
本实施例是在实施例1-4任一个的基础上进行优化,下面针对上述步骤涉及到的会话通道工作原理进行阐述;会话通道通讯过程如下:
1. TunCli连接TunServ,经过多次通讯完成身份认证,进入就绪状态。
2. 当运维客户端收到会话ID后(运维方案的步骤2),TunCli开始监听一个临时分配的本地端口A,这个端口A与会话ID是关联的。
3. 当运维工具连接本地端口A时,TunCli通过步骤1建立的连接向TunServ发送一个connect包,connect包含会话ID。
4. TunServ收到connect包,通过会话ID取得运维会话,进一步取得目标资产的资产信息(资产IP、资产端口、资产账号等)。
5. TunServ连接目标资产,若连接成功,则生成一个连接ID(至少在同一会话ID下唯一),并向TunCli返回accept包,表示接受运维客户端的本次连接。
6. TunCli收到accept包后,标记连接成功,并开始接收运维工具连接的数据。
7. 当TunCli收到来自运维工具的原始数据时,对消息进一步封装为data包(原始消息作为data包的负载),data头部包含连接ID(可能还包含会话ID),此data包再发送到TunServ。
8. TunServ收到data包,通过连接ID取得与目标资产的连接,将data包的负载数据发送给目标资产。
9. 当TunServ收到来自目标资产的原始数据时,对消息进一步封装为data包(原始消息作为data包的负载),data头部包含连接ID(可能还包含会话ID),此data包再发送到TunCli。
10. TunCli收到data包,通过连接ID取得与运维工具的连接,将data包的负载数据发送给运维工具。至此,运维工具与目标资产之间首次通讯完成,后续通讯将重复步骤7至步骤10。
本实施例的其他部分与上述实施例1-4任一个相同,故不再赘述。
实施例6:
一种运维审计系统的运维接入系统,如图1所示,包括运维审计服务器、运维客户端、运维工具和目标资产,所述运维审计服务器包括TunServ模块;所述运维客户端包括TunCli模块;所述TunCli模块用于创建一个与会话ID关联的会话通道实例并监听本地端口;所述TunServ模块用于取得会话ID或连接ID并查找与此关联的运维会话;通过TunServ模块与TunCli模块以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。
本发明通过TunServ模块与TunCli模块以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,所述会话通道中经隧道协议处理过的消息包含了会话ID,进而唯一确定目标资产。本发明实现了在不依赖具体应用协议的情况下实现对运维接入的访问控制,本发明提供了更好的运维接入兼容性,较好的提升开发人员对运维接入的开发效率,提高了用户体验。
以上所述,仅是本发明的较佳实施例,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化,均落入本发明的保护范围之内。

Claims (6)

1.一种运维审计系统的运维接入方法,其特征在于,收到运维请求后创建运维会话并生成会话ID,同时以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作;
包括以下步骤:
步骤S100:通过运维客户端向运维审计服务器发起对资产的运维请求,服务器收到运维请求,如果认证及授权通过,建立运维会话,并向运维客户端返回会话ID;
步骤S200:运维客户端接收到会话ID后,通过TunCli模块创建一个与会话ID关联的会话通道实例,并监听一个临时分配的本地端口,启动对应的运维工具,运维工具连接被监听的本地端口并开始运维;
步骤S300:运维客户端TunCli模块接收到来自运维工具发出的原始消息后,对消息进一步封装为数据包,封装后的数据包包含运维会话ID或连接ID,然后将数据包发送给运维审计服务器的TunServ模块;
步骤S400:运维审计服务器的TunServ模块收到封装的数据包后,取得会话ID或者连接ID,并查找与此关联的运维会话;从运维会话中取得资产的信息,然后将数据包中包含的原始消息转发到资产,资产的消息也按原路返回到运维工具;
所述会话通道的通讯步骤如下:
步骤A1:TunCli模块连接TunServ模块,经过多次通讯完成身份认证,进入就绪状态;
步骤A2:当运维客户端收到会话ID后,TunCli模块开始监听一个临时分配的本地端口A,这个端口A与会话ID是关联的;
步骤A3:当运维工具连接本地端口时,TunCli模块向TunServ模块发送一个connect包,connect包含会话ID;
步骤A4:TunServ模块收到connect包,通过会话ID取得运维会话,进一步取得目标资产的资产信息;
步骤A5:TunServ模块连接目标资产,若连接成功,则生成一个连接ID,所述连接ID至少在同一会话ID下唯一,并向TunCli模块返回accept包,表示接受运维客户端的本次连接;
步骤A6:TunCli模块收到accept包后,标记连接成功,并开始接收运维工具连接的数据;
步骤A7:当TunCli模块收到来自运维工具的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunServ模块;
步骤A8:TunServ模块收到data包,通过连接ID取得与目标资产的连接,将data包的负载数据发送给目标资产;
步骤A9:当TunServ模块收到来自目标资产的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunCli模块;
步骤A10:TunCli模块收到data包,通过连接ID取得与运维工具的连接,将data包的负载数据发送给运维工具;至此,运维工具与目标资产之间首次通讯完成,后续通讯重复步骤A7至步骤A10。
2.根据权利要求1所述的一种运维审计系统的运维接入方法,其特征在于,所述步骤S100中的运维请求包括能够唯一确定资产的资产ID、资产IP、资产端口、资产账户信息;服务器收到运维请求后检索是否存在指定的资产,并检查用户是否有权访问对应的目标资产。
3.根据权利要求1所述的一种运维审计系统的运维接入方法,其特征在于,所述步骤S100中会话ID为会话唯一标识,所述步骤S300中连接ID与会话ID关联,一个会话ID包含若干个连接ID;所述步骤S300中连接ID为当前会话连接的唯一标识。
4.根据权利要求1所述的一种运维审计系统的运维接入方法,其特征在于,所述步骤S300中当TunCli模块收到来自运维工具的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunServ模块。
5.根据权利要求1或4所述的一种运维审计系统的运维接入方法,其特征在于,所述步骤S400中,当TunServ模块收到来自目标资产的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunCli模块。
6.一种运维审计系统的运维接入系统,按照权利要求1所述的一种运维审计系统的运维接入方法运行,其特征在于,包括运维审计服务器、运维客户端、运维工具和目标资产,所述运维审计服务器包括TunServ模块;所述运维客户端包括TunCli模块;所述TunCli模块用于创建一个与会话ID关联的会话通道实例并监听本地端口;所述TunServ模块用于取得会话ID或连接ID并查找与此关联的运维会话;通过TunServ模块与TunCli模块以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。
CN202110342047.6A 2021-03-30 2021-03-30 一种运维审计系统的运维接入方法及系统 Active CN113114643B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110342047.6A CN113114643B (zh) 2021-03-30 2021-03-30 一种运维审计系统的运维接入方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110342047.6A CN113114643B (zh) 2021-03-30 2021-03-30 一种运维审计系统的运维接入方法及系统

Publications (2)

Publication Number Publication Date
CN113114643A CN113114643A (zh) 2021-07-13
CN113114643B true CN113114643B (zh) 2022-03-29

Family

ID=76713144

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110342047.6A Active CN113114643B (zh) 2021-03-30 2021-03-30 一种运维审计系统的运维接入方法及系统

Country Status (1)

Country Link
CN (1) CN113114643B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113918408A (zh) * 2021-09-03 2022-01-11 成都安恒信息技术有限公司 一种提取用户执行脚本内容的运维审计方法
CN114338087B (zh) * 2021-12-03 2024-03-15 成都安恒信息技术有限公司 一种基于防火墙的定向运维审计方法及系统
CN118740661A (zh) * 2023-03-31 2024-10-01 华为云计算技术有限公司 访问管理的方法和系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101170502B (zh) * 2007-11-20 2011-10-26 中兴通讯股份有限公司 一种实现堆叠成员间互访的方法及系统
CN102215133B (zh) * 2011-06-21 2013-08-28 德讯科技股份有限公司 基于rdp远程协议跳板机审计数据定位回放系统及方法
CA2839467A1 (en) * 2014-01-16 2015-07-16 Msp Resourcing Canada Inc Data management system and method for piping installations
US10582561B2 (en) * 2017-03-27 2020-03-03 Electronics And Telecommunications Research Institute Method for releasing context of user equipment in non-3GPP access network and network entity performing the same
CN112491604B (zh) * 2019-01-18 2023-09-26 创新先进技术有限公司 物联网设备的远程管理实现方法、装置及系统
CN110365767B (zh) * 2019-07-12 2021-08-20 成都安恒信息技术有限公司 一种运维审计系统的单次运维多tcp连接聚合方法
CN111522611B (zh) * 2020-03-31 2022-08-05 成都安恒信息技术有限公司 一种用于运维审计系统的协同运维方法

Also Published As

Publication number Publication date
CN113114643A (zh) 2021-07-13

Similar Documents

Publication Publication Date Title
CN113114643B (zh) 一种运维审计系统的运维接入方法及系统
US10069939B2 (en) Establishing a virtual tunnel between two computers
US5960177A (en) System for performing remote operation between firewall-equipped networks or devices
CN101138219B (zh) 通过网络与客户机通信的方法和系统
US6101543A (en) Pseudo network adapter for frame capture, encapsulation and encryption
CN102035904B (zh) 一种将tcp网络通信服务端转换为客户端的方法
US7197643B2 (en) Key exchange proxy network system
CN106209838B (zh) Ssl vpn的ip接入方法及装置
CN100574237C (zh) 代理接入方法、控制网络设备以及代理接入系统
CN109005179A (zh) 基于端口控制的网络安全隧道建立方法
CN110661858A (zh) 基于websocket的内网穿透方法及系统
US7694015B2 (en) Connection control system, connection control equipment and connection management equipment
US6829709B1 (en) Validation of network communication tunnels
CN111343083B (zh) 即时通信方法、装置、电子设备及可读存储介质
CN110691097A (zh) 一种基于hpfeeds协议的工控蜜罐的系统及其工作方法
CN112583599B (zh) 通信方法及装置
US20080092206A1 (en) Security protocol control apparatus and security protocol control method
CN110049024A (zh) 一种数据传输方法、中转服务器及接入网点服务器
CN114095213B (zh) 一种网络访问控制策略管理系统
US7207063B1 (en) Method and apparatus for determining secure endpoints of tunnels in a network that uses internet security protocol
CN100592265C (zh) 路由分组通信量来确保通信安全的方法、系统和计算机系统
CN116405314A (zh) 接入网源地址身份认证方法和装置
CN116233071A (zh) 一种客户端访问内网资源的方法和可读存储介质
JP2002026927A (ja) カプセリング方法及び装置並びにプログラム記録媒体
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant