CN101989987B - 安全终端仿真协议监控时实现加密文件传输和跟踪的方法 - Google Patents
安全终端仿真协议监控时实现加密文件传输和跟踪的方法 Download PDFInfo
- Publication number
- CN101989987B CN101989987B CN 201010533662 CN201010533662A CN101989987B CN 101989987 B CN101989987 B CN 101989987B CN 201010533662 CN201010533662 CN 201010533662 CN 201010533662 A CN201010533662 A CN 201010533662A CN 101989987 B CN101989987 B CN 101989987B
- Authority
- CN
- China
- Prior art keywords
- file
- request
- control system
- supervisory control
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 34
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000012544 monitoring process Methods 0.000 title claims abstract description 20
- 238000013507 mapping Methods 0.000 claims abstract description 4
- 238000012546 transfer Methods 0.000 claims description 59
- 230000003139 buffering effect Effects 0.000 claims description 12
- 239000012467 final product Substances 0.000 claims description 3
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 230000002950 deficient Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 241001362551 Samba Species 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法,其实现步骤为:⑴监控系统对SSH协议进行二次登录或代理,在监控系统和客户端之间建立一个新的文件传输通道;⑵同时在服务器端和监控系统之间也建立一个新的文件传输通道;⑶监控系统将两端所有的文件传输通道一一对应地映射起来;⑷监控系统根据客户端发送来的通道请求,分析是请求目录结构还是请求文件传输;⑸在监控系统的面向客户端模块上对客户端发起的请求进行反解析即可对用户文件操作进行跟踪。通过本发明的技术手段在满足了对安全终端仿真协议进行监控的前提下,还实现了在客户端和服务器端之间直接进行加密文件传输和全过程跟踪,操作简单易行。
Description
技术领域
本发明属于安全终端仿真协议监控技术领域,具体是涉及一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法。
背景技术
终端仿真协议是用于维护UNIX或者LINUX服务器的常用协议,早期基于TCP/IP网络终端仿真的比较流行的协议有TELNET和RLOGIN两种,但由于它们在网络传输的过程中采用明文的方式,这产生了很大的安全隐患。同时这两种协议均只支持字符终端访问的模式,并不支持文件传输,如果需要与服务器进行文件传输还需要FTP或者SAMBA之类的文件传输协议进行辅助,使用起来很不方便,因此这两种协议逐步地被传输更安全、功能更强大的安全终端仿真协议(以下简称SSH协议)所取代。SSH协议采用SSL非对称加密的方法使得网络数据传输更为安全,SSH协议还通过虚拟通道的方法使得在同一个TCP连接上除了提供终端仿真之外还可以进行加密文件的传输,即SFTP协议,极大地方便了服务器维护人员。正是由于SSH协议的安全性,通过常用的旁路抓取数据包的方式是无法从中获得有效数据的,因此如果需要对基于SSH的远程访问操作进行监控,就必须在监控系统上对SSH协议进行二次登陆或者代理,否则就无法从加密的数据中还原出维护人员的操作。所谓二次登录,就是操作人员首先通过SSH协议登录到监控系统上,监控系统为已授权的操作人员提供友好的菜单界面,操作人员可以在菜单内选择自己所需要登录的服务器直接进行登录。所谓代理,就是操作人员将监控系统指定为SSH协议的代理服务器,所有的SSH协议访问均以监控系统作为代理来访问目标服务器。综上所述,根据二次登陆或者代理的原理可以知道,操作人员发起的SSH协议连接在监控系统上进行了终结,所有对维护的目标服务器的连接都是由监控系统发起的,这样监控系统对客户端而言是服务器,而对服务器端而言是客户端,通过这种方法可以很方便地反解析操作行为。这样可以满足了对SSH协议的监控,但是由于在这种情况下,客户端的SSH协议连接是与监控系统建立的,同样服务器端的SSH协议连接也是与监控系统建立的,因此在客户端和服务器端之间无法直接建立加密文件传输的通道,使得加密文件的传输以及全过程跟踪就变得非常困难。
发明内容
本发明主要是解决现有技术所存在的技术问题,提供了一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法。
本发明的上述技术问题主要是通过下述技术方案得以解决的:一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法,其实现步骤为:⑴监控系统对SSH协议进行二次登录或代理,客户端向监控系统发起开启文件传输虚拟通道的请求,并请求一个标识,监控系统响应该开启文件传输虚拟通道的请求,协商完成后在监控系统和客户端之间建立一个新的文件传输通道;⑵监控系统同时向服务器端发起开启文件传输虚拟通道的请求,并请求一个标识,服务器端响应该开启文件传输虚拟通道的请求,协商完成后在服务器端和监控系统之间也建立一个新的文件传输通道;⑶监控系统根据请求的标识将两端所有的文件传输通道一一对应地映射起来,即将文件传输虚拟通道连通;⑷监控系统根据客户端发送来的通道请求,分析是请求目录结构还是请求文件传输:如果是请求目录结构,则直接通过映射到监控系统本地的目录结构模块返回;如果是请求上传文件,则开启一个线程来接收客户端的文件数据流,同时将文件通过监控系统与服务器之间的文件传输通道上传到服务器端;如果是请求下载文件,则开启一个线程将文件从服务器端下载到监控系统,并同时将文件通过监控系统与客户端之间的文件传输通道传输到客户端;⑸在监控系统的面向客户端模块上对客户端发起的请求进行反解析即可对用户文件操作进行跟踪。
作为优选,所述步骤⑷中文件数据流都先写入到监控系统中文件缓冲模块的文件传输缓冲区,如果待传输的文件在文件传输缓冲区内本身就存在,则直接使用文件传输缓冲区内的文件完成传输即可。
作为优选,所述步骤⑷在对加密文件传输进行转发的过程中,所有客户端发起的请求都由监控系统中面向客户端模块来响应,面向客户端模块接收到客户端的请求后,首先分析该请求是对目录结构的请求还是对文件传输的请求,然后把对目录结构的请求交给目录结构映射模块处理,把文件传输请求交给文件缓冲模块处理,最后这两个模块分别通过面向服务器模块完成向服务器端目录结构同步和文件传输的任务。
本发明克服了现有安全终端仿真协议技术中在客户端和服务器端之间直接进行加密文件传输和全过程跟踪不能实现的缺陷,通过本发明的技术手段在满足了对安全终端仿真协议进行监控的前提下,还实现了在客户端和服务器端之间直接进行加密文件传输和全过程跟踪,操作简单易行。
附图说明
图1是本发明的一种原理结构示意图。
具体实施方式
下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。
实施例:本发明一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法,其实现步骤为:⑴监控系统对SSH协议进行二次登录或代理,客户端向监控系统发起开启文件传输虚拟通道的请求,并请求一个标识,监控系统响应该开启文件传输虚拟通道的请求,协商完成后在监控系统和客户端之间建立一个新的文件传输通道;⑵监控系统同时向服务器端发起开启文件传输虚拟通道的请求,并请求一个标识,服务器端响应该开启文件传输虚拟通道的请求,协商完成后在服务器端和监控系统之间也建立一个新的文件传输通道;⑶监控系统根据请求的标识将两端所有的文件传输通道一一对应地映射起来,即将文件传输虚拟通道连通;⑷监控系统根据客户端发送来的通道请求,分析是请求目录结构还是请求文件传输:如果是请求目录结构,则直接通过映射到监控系统本地的目录结构模块返回;如果是请求上传文件,则开启一个线程来接收客户端的文件数据流,同时将文件通过监控系统与服务器之间的文件传输通道上传到服务器端;如果是请求下载文件,则开启一个线程将文件从服务器端下载到监控系统,并同时将文件通过监控系统与客户端之间的文件传输通道传输到客户端;⑸在监控系统的面向客户端模块上对客户端发起的请求进行反解析即可对用户文件操作进行跟踪。
考虑到文件传输速度有差异,其中步骤⑷中文件数据流都先写入到监控系统中文件缓冲模块的文件传输缓冲区,如果待传输的文件在文件传输缓冲区内本身就存在,则直接使用文件传输缓冲区内的文件完成传输即可。
参看图1,步骤⑷在对加密文件传输进行转发的过程中,所有客户端发起的请求都由监控系统中面向客户端模块来响应,面向客户端模块接收到客户端的请求后,首先分析该请求是对目录结构的请求还是对文件传输的请求,然后把对目录结构的请求交给目录结构映射模块处理,把文件传输请求交给文件缓冲模块处理,最后这两个模块分别通过面向服务器模块完成向服务器端目录结构同步和文件传输的任务。
本发明克服了现有安全终端仿真协议技术中在客户端和服务器端之间直接进行加密文件传输和全过程跟踪不能实现的缺陷,通过本发明的技术手段在满足了对安全终端仿真协议进行监控的前提下,还实现了在客户端和服务器端之间直接进行加密文件传输和全过程跟踪,操作简单易行。
最后,应当指出,以上实施例仅是本发明较有代表性的例子。显然,本发明的技术方案并不限于上述实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
Claims (3)
1.一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法,其特征在于所述方法的实现步骤为:⑴监控系统对SSH协议进行二次登录或代理,客户端向监控系统发起开启文件传输虚拟通道的请求,并请求一个标识,监控系统响应该开启文件传输虚拟通道的请求,协商完成后在监控系统和客户端之间建立一个新的文件传输通道;⑵监控系统同时向服务器端发起开启文件传输虚拟通道的请求,并请求一个标识,服务器端响应该开启文件传输虚拟通道的请求,协商完成后在服务器端和监控系统之间也建立一个新的文件传输通道;⑶监控系统根据请求的标识将两端所有的文件传输通道一一对应地映射起来,即将文件传输虚拟通道连通;⑷监控系统根据客户端发送来的通道请求,分析是请求目录结构还是请求文件传输:如果是请求目录结构,则直接通过映射到监控系统本地的目录结构模块返回;如果是请求上传文件,则开启一个线程来接收客户端的文件数据流,同时将文件通过监控系统与服务器之间的文件传输通道上传到服务器端;如果是请求下载文件,则开启一个线程将文件从服务器端下载到监控系统,并同时将文件通过监控系统与客户端之间的文件传输通道传输到客户端;⑸在监控系统的面向客户端模块上对客户端发起的请求进行反解析即可对用户文件操作进行跟踪。
2.根据权利要求1所述的安全终端仿真协议监控时实现加密文件传输和跟踪的方法,其特征在于所述步骤⑷中文件数据流都先写入到监控系统中文件缓冲模块的文件传输缓冲区,如果待传输的文件在文件传输缓冲区内本身就存在,则直接使用文件传输缓冲区内的文件完成传输即可。
3.根据权利要求1或2所述的安全终端仿真协议监控时实现加密文件传输和跟踪的方法,其特征在于所述步骤⑷在对加密文件传输进行转发的过程中,所有客户端发起的请求都由监控系统中面向客户端模块来响应,向客户端模块接收到客户端的请求后,首先分析该请求是对目录结构的请求还是对文件传输的请求,然后把对目录结构的请求交给目录结构映射模块处理,把文件传输请求交给文件缓冲模块处理,最后这两个模块分别通过面向服务器模块完成向服务器端目录结构同步和文件传输的任务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010533662 CN101989987B (zh) | 2010-11-05 | 2010-11-05 | 安全终端仿真协议监控时实现加密文件传输和跟踪的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010533662 CN101989987B (zh) | 2010-11-05 | 2010-11-05 | 安全终端仿真协议监控时实现加密文件传输和跟踪的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101989987A CN101989987A (zh) | 2011-03-23 |
| CN101989987B true CN101989987B (zh) | 2013-05-08 |
Family
ID=43746330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010533662 Active CN101989987B (zh) | 2010-11-05 | 2010-11-05 | 安全终端仿真协议监控时实现加密文件传输和跟踪的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101989987B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104394129B (zh) * | 2014-11-05 | 2017-10-17 | 中国科学院声学研究所 | 安全外壳ssh2协议数据的采集方法和装置 |
| CN106534319A (zh) * | 2016-11-22 | 2017-03-22 | 深圳市掌世界网络科技有限公司 | 一种通过代理服务器直接访问目标服务器的方法 |
| CN109274769A (zh) * | 2018-11-02 | 2019-01-25 | 深圳竹云科技有限公司 | 一种文件传输协议二次认证的方法 |
| CN109120651B (zh) * | 2018-11-07 | 2021-08-24 | 成都华栖云科技有限公司 | 一种改善教学网络文件传输流畅度的实现方法及系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383820A (zh) * | 2008-07-07 | 2009-03-11 | 上海安融信息系统有限公司 | 一种监控ssl连接与数据的设计与实现方法 |
-
2010
- 2010-11-05 CN CN 201010533662 patent/CN101989987B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101383820A (zh) * | 2008-07-07 | 2009-03-11 | 上海安融信息系统有限公司 | 一种监控ssl连接与数据的设计与实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101989987A (zh) | 2011-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104065731B (zh) | 一种ftp文件传输系统及传输方法 | |
| CN112613024B (zh) | 一种数据交互方法、装置、系统及存储介质 | |
| CN102857520B (zh) | 一种字符终端Telnet协议安全访问系统及方法 | |
| CN104753752B (zh) | 一种适用于vpn的按需连接方法 | |
| US10897494B2 (en) | Diversified file transfer | |
| CN101989987B (zh) | 安全终端仿真协议监控时实现加密文件传输和跟踪的方法 | |
| CN104753732A (zh) | 一种基于分布式的网络流量分析系统及方法 | |
| CN104010001B (zh) | 移动终端中同类联网请求进行连接通信的方法和系统 | |
| CN112104476B (zh) | 一种广域网网络组网自动智能配置的方法和系统 | |
| CN102647300A (zh) | 网络设备远程维护系统及维护方法 | |
| CN102035882B (zh) | Ftp二次登陆系统及实现文件传输和过程监控的方法 | |
| EP2869530B1 (en) | Systems and methods for secure remote access | |
| US9306915B2 (en) | Systems and methods for secure file transfers | |
| CN103384246A (zh) | 安全监察系统登录助手方法 | |
| CN101980481B (zh) | 一种安全终端仿真协议监控时实现会话复制和跟踪的方法 | |
| CN108259249A (zh) | 网络接入方法、路由器、终端设备、服务器及网络系统 | |
| CN103401751A (zh) | 因特网安全协议隧道建立方法和装置 | |
| CN104102213A (zh) | 一种用于物料分选设备的远程控制系统及方法 | |
| CN102694792B (zh) | 配网纵向加密装置 | |
| CN104967675A (zh) | 避免病毒运行和传播的金融网点柜面上传输文件的方法 | |
| CN111490924A (zh) | 一种便捷式远程网络路由系统及其建立方法 | |
| CN112995203A (zh) | 用于记录安全工具信息的检测中心网络结构 | |
| CN104113462A (zh) | Pppoe协议多运营商接入共用链路方法 | |
| Lao et al. | 3G-based remote video surveillance and control system for facility agriculture | |
| KR102583522B1 (ko) | 개방형 가상사설네트워크 기반의 라우터수집형 설비모니터링 솔루션시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20161206 Address after: Xihu District city of Hangzhou in West Zhejiang province 310000 No. 75 No. three building six floor Patentee after: Hangzhou Safetybase Information Technology Co., Ltd. Address before: Xihu District city of Hangzhou in West Zhejiang province 310012 No. 75 No. 3 Building 6 floor Patentee before: Huang Yihai |