CN101047698B - 远程访问保护系统及方法 - Google Patents
远程访问保护系统及方法 Download PDFInfo
- Publication number
- CN101047698B CN101047698B CN2006100600985A CN200610060098A CN101047698B CN 101047698 B CN101047698 B CN 101047698B CN 2006100600985 A CN2006100600985 A CN 2006100600985A CN 200610060098 A CN200610060098 A CN 200610060098A CN 101047698 B CN101047698 B CN 101047698B
- Authority
- CN
- China
- Prior art keywords
- package
- remote access
- client
- module
- described client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种远程访问保护系统,包括侦听模块、网段判断模块、用户信息检查模块,以及远程访问封包判断模块。侦听模块用于在连接端口侦听客户端所发送的封包。网段判断模块用于验证客户端是否处于合法网段。用户信息检查模块用于检查处于合法网段的客户端所发送的封包是否包含正确的用户信息。远程访问封包判断模块用于判断处于合法网段内的客户端所发送的封包是否为远程访问封包。本发明实施方式中还提供一种远程访问保护方法。本发明实施方式中的远程访问保护系统及方法可在启动远程访问机制之前首先验证客户端的网段、用户名及密码是否合法,然后决定是否允许客户端进行远程访问,从而增强远程访问的安全性。
Description
【技术领域】
本发明涉及一种安全系统及方法,尤其涉及一种远程访问保护系统及方法。
【背景技术】
Telnet(远程登录)是进行远程访问的标准协议和主要方式。Telnet可为用户提供在本地计算机上访问远程主机的功能。用户通过Telnet可与全世界的许多信息中心、图书馆及其它资源。用户通过Telnet进行远程访问的方式可分为两种。第一种是用户在远程主机上有自己注册的用户名及密码;第二种是远程主机为用户提供公共的Telnet资源,该资源对于每一个Telnet用户都是开放的。在Unix系统中,要建立客户端与远程主机的远程访问连接,只需在系统提示符下输入命令:Telnet<远程主机名>,用户就可看到远程主机的欢迎信息或登录标志。在Windows系统中,用户将以具有图形接口的Telnet客户端程序建立客户端与远程主机的远程访问连接。
许多网络装置,如路由器、调制解调器等都支持telnet协议。用户在通过该等网络装置建立客户端与远程主机的远程访问连接时,由于网络装置未设置有安全机制,就会使得远程主机容易受到黑客的侵袭。
【发明内容】
为解决上述现有技术存在的不足,需要提供一种远程访问保护系统,以增强远程访问的安全性。
此外,还需要提供一种远程访问保护方法,以增强远程访问的安全性。
一种远程访问保护系统,设置于通过网络与客户端连接的网络装置中,该网络装置同时与远程主机连接。该远程访问保护系统包括侦听模块、网段判断模块、用户信息检查模块,以及远程访问封包判断模块。侦听模块用于在连接端口侦听客户端所发送的封包。网段判断模块用于在侦听模块侦听到客户端发送封包时根据客户端所发送的封包验证客户端是否处于合法网段;用户信息检查模块用于在客户端处于合法网段时检查客户端所发送的封包是否包含正确的用户信息。远程访问封包判断模块用于在客户端发送的封包包含正确的用户信息时判断处于合法网段内的客户端所发送的封包是否为远程访问封包。
一种远程访问保护方法,应用于通过网络与客户端连接的网络装置中,该网络装置同时与远程主机连接。该远程访问保护方法包括:在连接端口侦听客户端所发送的建立会话封包;验证客户端是否处于合法网段;如果客户端处于合法网段,则检查客户端所发送的封包是否包含正确的用户信息;如果客户端所发送的封包包含正确的用户信息,则判断客户端所发送的封包是否为远程访问封包;如果客户端所发送的封包为远程访问封包,则允许客户端进行远程控制。
本发明实施方式中的远程访问保护系统及方法可在启动远程访问机制之前首先验证客户端的网段、用户名及密码是否合法,然后决定是否允许客户端进行远程访问从而增强远程访问的安全性。
【附图说明】
图1为本发明实施方式中的远程访问保护系统的应用环境示意图。
图2为本发明实施方式中的远程访问保护系统的模块图。
图3为本发明实施方式中的远程访问保护方法的流程图。
【具体实施方式】
请参阅图1,所示为本发明实施方式中的远程访问保护系统10的应用环境示意图。在本实施方式中,客户端30通过网络20与网络装置10连接,网络装置10同时与远程主机40连接,客户端30可通过发送封包远程访问远程主机40。网络装置10为路由器、交换机或调制解调器,网络20为因特网(Internet)或广域网络(Wide Area Network),客户端30为个人计算机或无盘工作站。
请参阅图2,所示为本发明实施方式中的远程访问保护系统100的模块图。远程访问保护系统100设置于图1所示的网络装置10中。
远程访问保护系统100包括侦听模块110、网段判断模块120、用户信息检查模块130、会话判断模块140、解析模块150,以及远程访问封包判断模块160。
侦听模块110用于在连接端口(Port)侦听客户端30所发送的封包。连接端口指网络装置10与客户端30之间进行通信的连接点,其为分别在网络装置10与客户端30上执行的不同程序。在本实施方式中,侦听模块110所侦听的封包包括建立会话封包、包含用户信息封包,以及远程访问封包。侦听模块110在55600连接端口侦听客户端30所发送的封包。在其它方式中可根据实际情况选定在5610等连接端口侦听。
网段判断模块120用于验证客户端30是否处于合法网段。合法网段指远程访问保护系统100所允许访问的网段。在本实施方式中,网段判断模块120通过检查封包的因特网协议地址(IP Address)及子网掩码(Subnet Mask)是否合法来判断发送封包的客户端30是否处于合法网段。
用户信息检查模块130用于检查处于合法网段内的客户端30所发送的封包是否包含正确的用户信息。在本实施方式中,用户信息检查模块130检查客户端30所发送的封包中的用户名及用户密码是否正确。
会话模块140用于与处于合法网段内的客户端建立会话(Session)。在本实施方式中,会话指客户端30通过连接端口与会话模块140的连接端口进行的通信过程。客户端30与会话模块140之间所建立的会话具有序列号(Sequence Number)。
解析模块150用于解析并判断处于合法网段内的客户端30所发送的封包是否包含用户信息。在本实施方式中,解析模块150系通过解析封包的有效载荷(Payload)字段判断该封包是否包含用户信息。用户信息包括用户名及用户密码。
远程访问封包判断模块160用于判断处于合法网段内的客户端30所发送的封包是否为远程访问封包。在本实施方式中,远程访问封包判断模块160通过检查封包中的连接端口号(Port Number)的字段所记载的连接端口号是否为23来判断该封包是否为远程访问封包。
请参阅图3,所示为本发明实施方式中远程访问保护方法的流程图。
进入步骤S202,侦听模块110在连接端口侦听客户端30所发送的建立会话封包。如果侦听模块110在该连接端口侦听到客户端30所发送的建立会话封包,则进入步骤S204,否则继续在该连接端口侦听客户端30所发送的建立会话封包。
进入步骤S204,网段判断模块120检查发送建立会话封包的客户端30是否处于合法网段内。如果发送建立会话封包的客户端30处于合法网段内,则进入步骤S206;如果建立会话封包的客户端30不处于合法网段内,则返回步骤S202侦听模块110继续在该连接端口侦听客户端30发送的建立会话封包。
进入步骤S206,会话模块140与客户端30建立会话。在本实施方式中,客户端30通过TCP/IP(Transmission Control Protocol/InternetProtocol)协议与会话模块140进行三次握手(Handshake)后建立会话。在后续的通信过程中,会话模块140与客户端30都基于该会话进行。
客户端30与会话模块140成功建立会话后,进入步骤S208,侦听模块110继续在该连接端口侦听客户端30发送的封包。如果侦听模块110在该连接端口侦听到客户端30所发送的封包,则进入步骤S210,否则继续在该连接端口侦听客户端30所发送的封包。
进入步骤S210,解析模块150解析客户端30所发送的封包是否包含用户信息。如果该封包包含用户信息,则进入步骤S212;如果该封包不包含用户信息,则返回步骤S208,侦听模块110继续在该连接端口侦听客户端30发送的封包。
进入步骤S212,用户信息检查模块130检查客户端30所发送的封包是否包含正确的用户信息。
如果不包含正确的用户信息,则返回步骤S208,侦听模块110继续在该连接端口侦听客户端30发送的封包。如果包含正确的用户信息,则进入步骤S214,侦听模块110继续在该连接端口侦听客户端30发送的封包。在步骤S214中,如果侦听模块110在该连接端口侦听到客户端30发送的封包,则进入步骤S216。
进入步骤S216,远程访问封包判断模块160判断客户端30所发送的封包是否为远程访问封包。远程访问封包包括启动远程访问封包及中断远程访问封包。
如果客户端30所发送的封包不是远程访问封包,则返回步骤S214侦听模块110继续在该连接端口侦听客户端30所发送的封包。如果客户端30所发送的封包是远程访问封包,则进入步骤S218允许客户端30进行远程控制。
本发明实施方式中的远程访问保护系统10及方法可在启动远程访问机制之前首先验证客户端的网段、用户名及密码是否合法,然后决定是否允许客户端进行远程访问从而增强远程访问的安全性。
Claims (12)
1.一种远程访问保护系统,用于增强客户端与远程主机之间进行通讯的安全性,其特征在于所述远程访问保护系统包括:
侦听模块,用于在连接端口侦听所述客户端所发送的封包;
网段判断模块,用于在所述侦听模块侦听到所述客户端发送封包时根据所述客户端所发送的封包验证所述客户端是否处于合法网段;
用户信息检查模块,用于在所述客户端处于合法网段时检查所述客户端所发送的封包是否包含正确的用户信息;以及
远程访问封包判断模块,用于在所述客户端发送的封包包含正确的用户信息时判断处于所述合法网段内的客户端所发送的封包是否为远程访问封包。
2.如权利要求1所述的远程访问保护系统,其特征在于所述合法网段指所述远程访问保护系统所允许访问的网段。
3.如权利要求1所述的远程访问保护系统,其特征在于所述客户端所发送的封包包括建立会话封包、用户信息封包以及远程访问封包。
4.如权利要求3所述的远程访问保护系统,其特征在于进一步包括解析模块,用于通过解析所述封包的有效载荷字段来判断所述封包是否包含用户信息。
5.如权利要求3所述的远程访问保护系统,其特征在于所述远程访问封包判断模块通过检查所述封包的连接端口号字段判断所述封包是否为远程访问封包。
6.如权利要求3所述的远程访问保护系统,其特征在于进一步包括会话模块,用于与处于所述合法网段的客户端建立会话。
7.如权利要求3所述的远程访问保护系统,其特征在于进一步包括解析模块,用于解析并判断处于所述合法网段的客户端所发送的封包是否包含用户信息。
8.一种远程访问保护方法,用于增强客户端与远程主机之间进行通讯的安全性,其特征在于所述远程访问保护方法包括:
在连接端口侦听所述客户端所发送的建立会话封包;
验证所述客户端是否处于合法网段;
如果所述客户端处于所述合法网段,则检查所述客户端所发送的封包是否包含正确的用户信息;
如果所述客户端所发送的封包包含正确的用户信息,则判断所述客户端所发送的封包是否为远程访问封包;以及
如果所述客户端所发送的封包为远程访问封包,则允许所述客户端进行远程控制。
9.如权利要求8所述的远程访问保护方法,其特征在于进一步包括:如果所述客户端处于所述合法网段,则与所述客户端建立会话的步骤。
10.如权利要求9所述的远程访问保护方法,其特征在于进一步包括:与所述客户端建立所述会话后,继续在所述连接端口侦听所述客户端所发送的封包的步骤。
11.如权利要求10所述的远程访问保护方法,其特征在于进一步包括:如果在所述连接端口侦听到所述客户端所发送的封包,则解析并判断所述封包是否包含用户信息的步骤。
12.如权利要求8所述的远程访问保护方法,其特征在于进一步包括:如果所述客户端所发送的封包包含正确的用户信息,则继续在所述连接端口侦听所述客户端所发送的封包的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006100600985A CN101047698B (zh) | 2006-03-29 | 2006-03-29 | 远程访问保护系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2006100600985A CN101047698B (zh) | 2006-03-29 | 2006-03-29 | 远程访问保护系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101047698A CN101047698A (zh) | 2007-10-03 |
CN101047698B true CN101047698B (zh) | 2010-09-29 |
Family
ID=38771915
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2006100600985A Expired - Fee Related CN101047698B (zh) | 2006-03-29 | 2006-03-29 | 远程访问保护系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101047698B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104363307A (zh) * | 2014-12-08 | 2015-02-18 | 上海斐讯数据通信技术有限公司 | 用户端远程登陆服务端的方法及系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917719B (zh) * | 2014-03-10 | 2018-03-20 | 国基电子(上海)有限公司 | 用户端网络设备及远程登录的方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1592193A (zh) * | 2003-08-26 | 2005-03-09 | 国际商业机器公司 | 用于安全远程访问的系统和方法 |
WO2005071558A1 (ja) * | 2004-01-21 | 2005-08-04 | Hitachi, Ltd. | リモートアクセスシステム、ゲートウェイ、クライアント機器、プログラム及び記憶媒体 |
-
2006
- 2006-03-29 CN CN2006100600985A patent/CN101047698B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1592193A (zh) * | 2003-08-26 | 2005-03-09 | 国际商业机器公司 | 用于安全远程访问的系统和方法 |
WO2005071558A1 (ja) * | 2004-01-21 | 2005-08-04 | Hitachi, Ltd. | リモートアクセスシステム、ゲートウェイ、クライアント機器、プログラム及び記憶媒体 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104363307A (zh) * | 2014-12-08 | 2015-02-18 | 上海斐讯数据通信技术有限公司 | 用户端远程登陆服务端的方法及系统 |
CN104363307B (zh) * | 2014-12-08 | 2018-04-27 | 上海斐讯数据通信技术有限公司 | 用户端远程登陆服务端的方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN101047698A (zh) | 2007-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8191119B2 (en) | Method for protecting against denial of service attacks | |
US7765309B2 (en) | Wireless provisioning device | |
CN102316093B (zh) | 用于移动设备的双模式多服务vpn网络客户端 | |
US20040250072A1 (en) | Network connectable device and method for its installation and configuration | |
US20050277434A1 (en) | Access controller | |
CN104717205A (zh) | 基于报文重构的工控防火墙控制方法 | |
CN107438074A (zh) | 一种DDoS攻击的防护方法及装置 | |
CN102231748B (zh) | 一种客户端验证方法及装置 | |
CN107277058B (zh) | 一种基于bfd协议的接口认证方法及系统 | |
CN110198297A (zh) | 流量数据监控方法、装置、电子设备及计算机可读介质 | |
Prandini et al. | Splitting the HTTPS stream to attack secure web connections | |
CN104009972A (zh) | 网络安全接入的认证系统及其认证方法 | |
US8312530B2 (en) | System and method for providing security in a network environment using accounting information | |
CN102315996B (zh) | 网络准入控制方法及系统 | |
CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 | |
CN106603512A (zh) | 一种基于sdn架构的is‑is路由协议的可信认证方法 | |
CN101047698B (zh) | 远程访问保护系统及方法 | |
CN103001966A (zh) | 一种私网ip的处理、识别方法及装置 | |
CN104994113B (zh) | 一种adsl无线路由器及使用该路由器在桥接模式下实现强制门户的方法和系统 | |
CN111585972B (zh) | 面向网闸的安全防护方法、装置及网络系统 | |
KR100539760B1 (ko) | 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법 | |
CN113872957A (zh) | 基于ssh反向隧道的内网设备连接方法和系统 | |
CN102724166A (zh) | 防御攻击的网络连接系统及路由器 | |
CN102917071B (zh) | 一种隧道连接请求分发方法及装置 | |
CN1327374C (zh) | 一种强制推出网页的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100929 Termination date: 20110329 |