CN102045375A - 远程命令交互方法及堡垒主机 - Google Patents
远程命令交互方法及堡垒主机 Download PDFInfo
- Publication number
- CN102045375A CN102045375A CN2009102055296A CN200910205529A CN102045375A CN 102045375 A CN102045375 A CN 102045375A CN 2009102055296 A CN2009102055296 A CN 2009102055296A CN 200910205529 A CN200910205529 A CN 200910205529A CN 102045375 A CN102045375 A CN 102045375A
- Authority
- CN
- China
- Prior art keywords
- host computer
- user terminal
- background host
- unit
- security protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Abstract
本发明实施例公开了一种远程命令交互方法及堡垒主机,其中,方法包括:通过浏览器向用户终端提供后台主机列表;接收所述用户终端发送的从所述后台主机列表中选中的后台主机信息;根据所述选中的后台主机信息,通过安全防护插件连接到所述用户终端选中的后台主机,通过浏览器向所述用户终端提供与所述后台主机进行命令交互的交互窗口;接收所述用户终端通过所述交互窗口输入的命令,并通过所述安全防护插件向所述后台主机发送。堡垒主机包括:列表单元,接收单元,连接单元,处理单元。本发明实施例为用户提供了一种基于B/S模式的远程命令交互方法,使用户可以更方便的访问远程主机。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种远程命令交互方法及堡垒主机。
背景技术
在很多时候,用户可能需要远程访问一台主机,比如上班的时候需要访问家里的主机读取文件,或者出差时需要访问公司的主机,查阅资料等等,此时就需要使用主机远程交互工具,与远程主机进行命令交互。
目前应用的比较广泛的主机远程交互工具,都是基于客户端/服务器(C/S,client/server)的模式访问远程主机,需要用户下载相应客户端,使用远程主机的网际协议(IP,Internet Protocol)地址访问远程主机。
在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题:对于安全级别比较高的局点,主机可能不会配置IP地址供用户访问,此时就需要知道网络路径,采取迂回登录多个机器的方法来访问,过程比较复杂,用户操作比较麻烦,这给用户进行远程访问带来的困难。
发明内容
本发明实施例要解决的技术问题是提供一种远程命令交互方法及堡垒主机,为用户提供了一种基于浏览器/服务器(B/S,Browser/Server)模式的远程命令交互方法,使用户可以更方便的访问远程主机。
本发明实施例一方面,提供了一种远程命令交互方法,包括:
通过浏览器向用户终端提供后台主机列表;
接收所述用户终端发送的从所述后台主机列表中选中的后台主机信息;
根据所述选中的后台主机信息,通过安全防护插件连接到所述用户终端选中的后台主机,通过浏览器向所述用户终端提供与所述后台主机进行命令交互的交互窗口;
接收所述用户终端通过所述交互窗口输入的命令,并通过所述安全防护插件向所述后台主机发送。
另一方面,提供了一种堡垒主机,包括:
列表单元,用于通过浏览器向用户终端提供后台主机列表;
接收单元,用于接收所述用户终端发送的从所述后台主机列表中选中的后台主机信息;
连接单元,用于根据所述接收单元接收到的后台主机信息,通过安全防护插件连接到所述用户终端选中的后台主机,通过浏览器向所述用户终端提供与所述后台主机进行命令交互的交互窗口;
处理单元,用于接收所述用户终端通过所述交互窗口输入的命令,并在所述连接单元连接完成后,通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令。
由以上技术方案可以看出,由于用户终端可以通过浏览器访问堡垒主机,通过堡垒主机与后台主机进行命令交互,而浏览器是一种电脑会预装的软件,因此用户终端不需要下载专用客户端即可完成与后台主机的远程命令交互,操作更加便捷;且直接通过安装在堡垒主机上的安全防护插件连接到后台主机,可以直接访问后台主机,即使是安全级别比较高的局点,也不需要采取迂回登录多个机器的方法来访问,简化了操作程序,方便了用户。并且在现有技术中,如果后台主机组成了局域网,内部配置了IP,那么用户将无法远程访问,采用本发明实施例提供的远程命令交互方法就可以直接访问。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的用户终端访问后台主机的示意图;
图2为本发明实施例提供的远程命令交互方法流程图;
图3为本发明实施例提供的远程命令交互方法信令交互图;
图4为本发明实施例提供的记录用户操作日志的方法流程图;
图5为本发明实施例提供的堡垒主机结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种远程命令交互方法及堡垒主机,为用户提供了一种基于浏览器/服务器(B/S,Browser/Server)模式的远程命令交互方法,使用户可以更方便的访问远程主机。
本发明实施例提供的远程命令交互方法中,将后台主机组网,组网内的后台主机连接到堡垒主机,由堡垒主机统一管理后台主机,远程用户通过浏览器访问堡垒主机,通过堡垒主机与后台主机进行命令交互,图1为本发明实施例提供的用户终端访问后台主机的示意图:
用户1、用户2、用户3可以使用用户终端1、用户终端2、用户终端3的浏览器访问堡垒主机,后台主机1、后台主机2、后台主机3通过交换机连接到堡垒主机,堡垒主机对后台主机1、后台主机2、后台主机3进行屏蔽,使后台主机1、后台主机2、后台主机3组成的网络,与用户1、用户2、用户3的对应的用户终端组成的网络互相屏蔽。用户1、用户2、用户3只能通过堡垒主机访问到后台主机1、后台主机2、后台主机3,不能直接访问到后台主机1、后台主机2、后台主机3。
若从堡垒主机的角度对本发明实施例提供的远程命令交互方法进行描述,本发明实施例提供的远程命令交互方法流程图如图2所示,包括:
步骤201、堡垒主机利用浏览器向用户终端提供后台主机列表;
步骤202、堡垒主机接收所述用户终端发送的从所述后台主机列表中选中的后台主机信息;
步骤203、堡垒主机根据所述选中的后台主机信息,通过安全防护插件连接到所述用户终端选中的后台主机,通过浏览器向所述用户终端提供与所述后台主机进行命令交互的交互窗口;
步骤204、堡垒主机接收所述用户终端通过所述交互窗口输入的命令,并通过所述安全防护插件向所述后台主机发送。
由于用户终端可以通过浏览器访问堡垒主机,通过堡垒主机与后台主机进行命令交互,而浏览器是一种电脑会预装的软件,因此用户终端不需要下载专用客户端即可完成与后台主机的远程命令交互,操作更加便捷;且直接通过安装在堡垒主机上的安全防护插件连接到后台主机,可以直接访问后台主机,即使是安全级别比较高的局点,也不需要采取迂回登录多个机器的方法来访问,简化了操作程序,方便了用户。并且在现有技术中,如果后台主机组成了局域网,内部配置了IP,那么用户将无法远程访问,采用本发明实施例提供的远程命令交互方法就可以直接访问。
进一步,本发明实施例提供的远程命令交互方法中,堡垒主机可以要求访问用户提供账号密码,在通过浏览器向用户终端提供后台主机列表之前,接收并验证用户终端通过浏览器输入的服务器账号密码,验证用户是否具有管理主机交互模块权限;在验证所述服务器账号密码通过后,确认用户具有管理主机交互模块权限,通过浏览器向所述用户终端提供后台主机列表。
由于堡垒主机会验证访问用户终端的账号密码,比起现有技术中,只要知道IP地址或网络路径,任何人都可以登录,进一步保障了安全性。
进一步,后台主机可以要求访问用户提供账号密码,堡垒主机在通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令之前,接收所述用户终端通过所述交互窗口输入的后台主机账号密码;将所述后台主机账号密码转发到所述后台主机接受验证;在所述后台主机验证通过后,堡垒主机通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令。
由于后台主机进一步对访问用户进行了身份验证,进一步加强了安全性。
进一步,本发明实施例提供的远程命令交互方法中,安全防护插件可以记录下用户终端和后台主机交互的命令,以方便管理,及提高安全性。在现有技术中,在用户知道网络访问路径的情况下,不同用户都可以访问后台主机,但是访问的操作内容都没有记录,会给管理员增加管理难度,安全性也存在隐患。
现以实例说明本发明实施例提供的远程命令交互方法,假设以一个网络服务器(web Server)作为堡垒主机。
图3为本发明实施例提供的远程命令交互方法信令交互图,包括:
301、用户终端向堡垒主机输入服务器账号密码。
用户打开用户终端的浏览器,在浏览器中输入堡垒主机的地址访问堡垒主机,堡垒主机的地址可以是web Server的域名或IP地址,例如:堡垒主机的IP地址为10.71.60.141。
打开堡垒主机的页面,会看到输入账号密码的提示,此时需要输入服务器账号密码,服务器账号密码属于堡垒主机的用户,由堡垒主机提供,在以web Server作为堡垒主机时,用户需要知道属于web Server的用户的账号密码。
302、堡垒主机验证用户终端输入的服务器账号密码。
如果验证通过,则堡垒主机可以向用户终端提供组网内的后台主机列表,用户终端通过浏览器将后台主机列表显示给用户,以供用户选择。
可选的,堡垒主机可以给不同用户不同权限,只有具有管理主机交互模块权限的用户,才能使用远程命令交互功能,如果是一般用户,即使具有其他权限,但是没有被分配使用主机交互模块的权限,那他也不能使用远程命令交互功能。
以web Server作为堡垒主机时,web Server除了为用户提供远程命令交互功能还具有很多其他功能,属于web Server的用户,可能具有的权限有很多,web Server在对账号密码进行验证后,根据用户的权限,为用户提供相应的服务,例如用户为普通权限用户,只有WEB浏览的权限,则web Server不向用户提供后台主机列表,如果用户为超级用户,有访问后台主机的权限,则webServer向用户提供后台主机列表。
使用账号密码验证用户身份,可以提高访问的安全性,当然用户根据需要也可以将密码设置为空。
303、验证通过后,用户终端选择后台主机。
如果验证通过,且用户具有管理主机交互模块权限,用户终端通过浏览器将堡垒主机提供的后台主机列表显示给用户,用户从列表中选中目标后台主机,用户终端将用户选择的后台主机信息发送到堡垒主机,后台主机信息可以是选中的后台主机名字或地址等等。
为了安全性考虑,用户选择后台主机时,可以再次登录web Server,通过浏览器提供的后台主机列表选择后台主机。
304、堡垒主机获知用户选择的后台主机后,触发运行安全防护插件,并通过安全防护插件连接被用户选中的后台主机,向用户选中的后台主机发送SSH登录请求。
安全防护插件可以通过修改开源安全防护(SSH,Secure Shell)源码获得,是一种软件,可以安装在堡垒主机上;堡垒主机触发运行安全防护插件,通过安全防护插件可以连接到后台主机,
堡垒主机通过安全防护插件连接到用户选中的后台主机,向用户选中的后台主机发送SSH登录请求。
305、后台主机接收到SSH登录请求后,向堡垒主机返回登录信息,该登录信息主要用于提示用户输入后台主机的帐号密码。
306、堡垒主机将登录信息转发到用户终端。
307、用户终端根据接收到的登录信息给出的提示,向堡垒主机发送用户输入的后台主机账号密码。
用户终端在获知连接上目标后台主机后,用户终端将向用户显示一个与选中后台主机进行命令交互的窗口,提示用户输入后台主机账号密码,用户通过交互窗口输入后台主机账号密码后,用户终端将用户输入的后台主机账号密码转发到堡垒主机。
308、堡垒主机向后台主机发送用户输入的后台主机账号密码。
堡垒主机通过安全防护插件向后台主机发送用户输入的后台主机账号密码。
309、如果后台主机验证后台主机账号密码通过,则向堡垒主机返回登录成功信息。
后台主机在收到用户输入的后台主机账号密码后,会对用户输入的后台主机账号密码进行验证,验证用户是否有访问本机的权利,进一步,后台主机可以对用户进行授权,不同账号拥有不同权限,例如,只读权限,操作权限等等。
310、堡垒主机向用户终端发送登录成功信息。
此时,用户已经通过堡垒主机的验证,及后台主机的验证,可以与后台主机进行远程命令交互,用户在与选中后台主机进行命令交互的交互窗口输入命令,执行命令查看结果,进行交互操作。
用户可以选择多个后台主机,打开多个交互窗口,进行远程命令交互。
交互窗口支持复制粘贴功能,方便用户操作。
交互过程以及主机交互窗口都可以设置超时机制,超时时间由用户配置。在交互过程中当命令传递到后台主机过了超时时间尚没有返回反馈信息则交互界面报错;主机交互窗口如果在用户规定的时间内没有进行操作,会设置超时锁定,用户必须重新登录才能进行操作。
进一步,安全防护插件还可以记录用户操作日志,即记录下用户终端和后台主机交互的命令。
本发明实施例提供的远程命令交互方法中记录用户操作日志的方法中,用户登录到远程主机之后所执行的所有命令,例如输入、输出,在堡垒主机上都可以通过安全防护插件进行详细的记录,包括访问图形化界面。
本发明实施例对开源(Open)SSH源码进行修改,获得安全防护插件,安装在堡垒主机上,安全防护插件捕获所有从用户终端输入的信息以及所有安全防护插件回显到用户终端的信息,从捕获的这些信息中,提取日记记录需要的信息,或者把相关的信息翻译成可读的日志格式信息,再把这些信息记录到堡垒主机本地。
进一步,可以仅开放某些用户对日志文件的读写权限,例如超级用户,确保日志不被非超级用户恶意删除。
在用户登录后台主机成功后,本发明实施例还提供了记录用户操作日志的方法,图4为本发明实施例提供的记录用户操作日志的方法流程图,包括:
401、安全防护插件判断接收到的操作命令的服务类型。
用户登录成功后,会通过交互窗口向后台主机发送操作命令,安全防护插件根据收到的命令使用的协议或者格式判断服务类型。
SSH、安全文件传输(SFTP,Secure File Transfer Protocol)和安全复制(SCP,secure copy)是SSH软件包的组成部分,因此常见的服务类型有三种:SSH服务、SFTP服务和SCP服务。
根据服务类型不同,安全防护插件的记录用户操作日志的方法也会不同:当服务类型为SSH时,执行步骤4021;在服务类型为SFTP时,执行步骤4031;在服务类型为SCP时,执行步骤4041。
进一步,根据服务类型不同,安全防护插件记录的日志类型可以分为4种:
第一种、SSH输入输出日志:
用户终端登录到堡垒主机,安全防护插件捕获用户终端所有的输入信息以及所有回显到用户终端的信息,并记录到日志。
通过对日志的实时显示,可以监视用户的操作;通过对日志的回放,可以追溯用户的操作。
第二种、SSH命令日志;
安全防护插件从捕获的用户终端输入信息以及回显到用户终端的信息中,提出用户输入的操作命令,并记录到日志。
通过对SSH命令日志的查询、检索等,可以分析用户的操作行为。
第三种、SFTP命令日志;
在服务类型为SFTP服务时,用户终端可以被称为SFTP客户端,安全防护插件可以被称为SFTP服务端,SFTP客户端和SFTP服务端之间通信是采用命令字方式。
SFTP服务端捕获需要关注的SFTP客户端发送来的命令字和参数、以及返回给SFTP客户端的命令执行结果,把命令字翻译成SFTP命令、连同参数、命令的执行结果记录到日志;如果是上传/下载文件成功,同时将处于堡垒主机上的文件(上传到堡垒主机的文件、从堡垒主机下载的文件)进行备份,备份的文件仅对超级用户开放读写执行权限。
第四种、SCP命令日志;
SCP是通过命令参数来指示对文件是上传还是下载。
安全防护插件捕获用户终端发送来的命令和参数、以及返回给用户终端的命令的执行结果,把参数中的上传或者下载参数翻译成上传或者下载命令、连同其他命令、参数、命令的执行结果记录到日志;将处于堡垒主机上的文件(上传到堡垒主机的文件、从堡垒主机下载的文件)进行备份,备份的文件仅对超级用户开放读写执行权限。
如果服务类型为SSH服务,且命令内容为SSH维护命令时,执行如下步骤:
4021、用户终端通过交互窗口向安全防护插件发送SSH维护命令。
4022、安全防护插件捕获用户终端的输入信息,并记录SSH输入输出日志。
4023、安全防护插件缓存捕获到的输入信息。
4024、安全防护插件对输入信息进行内部处理。
4025、安全防护插件捕获向用户终端发送的回显信息并记录SSH输入输出日志。
4026、安全防护插件缓存上述捕获到回显信息。
4027、安全防护插件从SSH维护命令中提取SSH命令并记录SSH命令日志。
4028、安全防护插件向用户终端发送缓存回显信息。
如果服务类型为SFTP服务,执行如下步骤:
4031、用户终端向安全防护插件发送SFTP命令字和参数。
4032、安全防护插件从SFTP命令字和参数中捕获并缓存命令字和参数。
4033、安全防护插件对SFTP命令字和参数进行内部处理。
4034、安全防护插件捕获命令执行结果,并缓存执行结果。
4035、安全防护插件向用户终端返回命令执行结果。
4036、安全防护插件翻译命令字并记录日志。
4037、安全防护插件判断是否是上传下载,以及是否上传下载成功,如果是则备份文件。
如果服务类型为SCP服务,执行如下步骤:
4041、用户终端向安全防护插件发送SCP命令字和参数。
4042、安全防护插件从SCP命令字和参数中捕获并缓存命令字和参数。
4043、安全防护插件对SCP命令字和参数进行内部处理。
4044、安全防护插件捕获命令执行结果,并缓存执行结果。
4045、安全防护插件安全防护插件向用户终端返回命令执行结果。
4046、安全防护插件翻译上传下载参数并记录日志。
4047、安全防护插件命令执行成功则备份文件。
以上为对本发明实施例提供的远程命令交互方法,及其中记录用户操作日志的方法的详细描述,在使用本发明实施例提供的远程命令交互方法对后台主机进行维护时,用户登录堡垒主机后,堡垒主机登录到安全防护插件,然后再通过安全防护插件登录到后台主机进行维护。此时所有用户的输入以及回显给用户的信息都被安全防护插件记录。
在使用本发明实施例提供的远程命令交互方法上传下载文件时,必须先把文件上传或者下载到堡垒主机,然后在上传到后台主机,或者下载到用户本地。
使用本发明实施例提供的远程命令交互方法,由于用户终端可以通过浏览器访问堡垒主机,通过堡垒主机与后台主机进行命令交互,而浏览器是一种电脑会预装的软件,因此用户终端不需要下载专用客户端即可完成与后台主机的远程命令交互,操作更加便捷,且由于堡垒主机会验证访问用户终端的账号密码,进一步保障了安全性;且不受访问后台主机的IP限制,可以访问网络配置小网IP的后台主机。
进一步,安全防护插件可以记录下用户终端和后台主机交互的命令,以方便管理,及提高安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括如下步骤:
一种远程命令交互方法,包括:
通过浏览器向用户终端提供后台主机列表;
接收所述用户终端发送的从所述后台主机列表中选中的后台主机信息;
根据所述选中的后台主机信息,通过安全防护插件连接到所述用户终端选中的后台主机,通过浏览器向所述用户终端提供与所述后台主机进行命令交互的交互窗口;
接收所述用户终端通过所述交互窗口输入的命令,并通过所述安全防护插件向所述后台主机发送。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
本发明实施例提供的堡垒主机结构如图5所示,包括:
列表单元501,用于通过浏览器向用户终端提供后台主机列表;
接收单元502,用于接收所述用户终端发送的选中的后台主机信息;
连接单元503,用于根据所述接收单元502接收到的后台主机信息,通过安全防护插件连接到所述用户终端选中的后台主机,通过浏览器向所述用户终端提供与所述后台主机进行命令交互的交互窗口;
处理单元504,用于接收所述用户终端发送的命令,并在所述连接单元503连接完成后,通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令。
可选的,堡垒主机还可以包括:
验证单元,用于在所述列表单元通过浏览器向用户终端提供后台主机列表之前,接收并验证用户终端通过浏览器输入的服务器账号密码;所述列表单元在所述验证单元验证所述服务器账号密码通过后,通过浏览器向所述用户终端提供后台主机列表。
转发单元,用于在所述处理单元通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令之前,接收所述用户终端通过所述交互窗口输入的后台主机账号密码;将所述后台主机账号密码转发到所述后台主机接受验证;所述处理单元在所述后台主机验证通过后,通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令。
日志记录单元,用于在处理单元接收所述用户终端发送的命令后,根据所述用户发送的命令判断服务类型,根据所述服务类型记录用户操作日志。
日志记录单元的功能通常是由安全防护插件来实现。
其中,所述日志记录单元包括:
第一日志记录单元,用于在处理单元接收所述用户终端发送的命令后,判断所述服务类型为安全防护服务时,捕获输入信息和/或回显信息,记录入日志;从所述输入信息和/或回显信息中提取操作命令,记录入日志;
或,第二日志记录单元,用于在处理单元接收所述用户终端发送的命令后,判断所述服务类型为安全文件传输服务时,捕获用户终端发送的命令字和参数,以及向所述用户终端返回的命令执行结果;将所述命令字翻译成安全文件传输命令,将所述安全文件传输命令、所述参数和命令执行结果,记录入日志;
或,第三日志记录单元,用于在处理单元接收所述用户终端发送的命令后,判断所述服务类型为安全复制服务时,捕获用户终端发送的命令和参数,以及向所述用户终端返回的命令执行结果;将所述参数中的上传或下载参数翻译成安全复制命令,将所述安全复制命令与其他未翻译参数、命令执行结果,记录入日志。
本发明实施例提供的堡垒主机的具体使用方式可参考上文对本发明实施例提供的远程命令交互方法的描述,在此不再重复。
以上对本发明所提供的一种远程命令交互方法及堡垒主机进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (11)
1.一种远程命令交互方法,其特征在于,包括:
通过浏览器向用户终端提供后台主机列表;
接收所述用户终端发送的从所述后台主机列表中选中的后台主机信息;
根据所述选中的后台主机信息,通过安全防护插件连接到所述用户终端选中的后台主机,通过浏览器向所述用户终端提供与所述后台主机进行命令交互的交互窗口;
接收所述用户终端通过所述交互窗口输入的命令,并通过所述安全防护插件向所述后台主机发送。
2.如权利要求1所述的方法,其特征在于,还包括:
在通过浏览器向用户终端提供后台主机列表之前,接收并验证用户终端通过浏览器输入的服务器账号密码;
在验证所述服务器账号密码通过后,通过浏览器向所述用户终端提供后台主机列表。
3.如权利要求2所述的方法,其特征在于,所述验证所述服务器账号密码包括:验证所述服务器账号密码,验证所述用户是否具有管理主机交互模块权限。
4.如权利要求1、2或3所述的方法,其特征在于,还包括:
在通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令之前,接收所述用户终端通过所述交互窗口输入的后台主机账号密码;将所述后台主机账号密码转发到所述后台主机接受验证;在所述后台主机验证通过后,通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令。
5.如权利要求1所述的方法,其特征在于,还包括:
在接收所述用户终端发送的命令后,所述安全防护插件根据所述用户发送的命令判断服务类型,根据所述服务类型记录用户操作日志。
6.如权利要求5所述的方法,其特征在于,所述根据服务类型记录用户操作日志包括:
在所述服务类型为安全防护服务时,所述安全防护插件捕获输入信息和/或回显信息,记录入日志;从所述输入信息和/或回显信息中提取操作命令,记录入日志;
或,在所述服务类型为安全文件传输服务时,所述安全防护插件捕获所述用户终端发送的命令字和参数,以及向所述用户终端返回的命令执行结果;将所述命令字翻译成安全文件传输命令,将所述安全文件传输命令、所述参数和命令执行结果,记录入日志;
或,在所述服务类型为安全复制服务时,所述安全防护插件捕获所述用户终端发送的命令和参数,以及向所述用户终端返回的命令执行结果;将所述参数中的上传或下载参数翻译成安全复制命令,将所述安全复制命令与其他未翻译参数、命令执行结果,记录入日志。
7.如权利要求1、2、3、4或5所述的方法,其特征在于,还包括:
所述交互窗口在预定的时间内没有进行操作,则设置超时锁定;
和/或,在向所述后台主机转发所述用户终端输入的命令后,在预定时间内没有收到反馈信息,则在所述交互窗口报错。
8.一种堡垒主机,其特征在于,包括:
列表单元,用于通过浏览器向用户终端提供后台主机列表;
接收单元,用于接收所述用户终端发送的从所述后台主机列表中选中的后台主机信息;
连接单元,用于根据所述接收单元接收到的后台主机信息,通过安全防护插件连接到所述用户终端选中的后台主机,通过浏览器向所述用户终端提供与所述后台主机进行命令交互的交互窗口;
处理单元,用于接收所述用户终端通过所述交互窗口输入的命令,并在所述连接单元连接完成后,通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令。
9.如权利要求8所述的堡垒主机,其特征在于,还包括:
验证单元,用于在所述列表单元通过浏览器向用户终端提供后台主机列表之前,接收并验证用户终端通过浏览器输入的服务器账号密码;所述列表单元在所述验证单元验证所述服务器账号密码通过后,通过浏览器向所述用户终端提供后台主机列表。
10.如权利要求8所述的堡垒主机,其特征在于,还包括:
转发单元,用于在所述处理单元通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令之前,接收所述用户终端通过所述交互窗口输入的后台主机账号密码;将所述后台主机账号密码转发到所述后台主机接受验证;所述处理单元在所述后台主机验证通过后,通过所述安全防护插件向所述后台主机发送所述用户终端发送的命令。
11.如权利要求8、9或10所述的堡垒主机,其特征在于,还包括:
日志记录单元,用于在处理单元接收所述用户终端发送的命令后,根据所述用户发送的命令判断服务类型,根据所述服务类型记录用户操作日志。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910205529 CN102045375B (zh) | 2009-10-22 | 2009-10-22 | 远程命令交互方法及堡垒主机 |
| PCT/CN2010/077936 WO2011047626A1 (zh) | 2009-10-22 | 2010-10-21 | 远程命令交互方法及堡垒主机 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200910205529 CN102045375B (zh) | 2009-10-22 | 2009-10-22 | 远程命令交互方法及堡垒主机 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102045375A true CN102045375A (zh) | 2011-05-04 |
| CN102045375B CN102045375B (zh) | 2013-09-11 |
Family
ID=43899839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200910205529 Expired - Fee Related CN102045375B (zh) | 2009-10-22 | 2009-10-22 | 远程命令交互方法及堡垒主机 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102045375B (zh) |
| WO (1) | WO2011047626A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102546809A (zh) * | 2012-01-16 | 2012-07-04 | 东莞市正欣科技有限公司 | 大规模服务器集群的统一控制方法 |
| CN102592196A (zh) * | 2011-12-29 | 2012-07-18 | 深圳市酷开网络科技有限公司 | 电子保单管理方法及系统 |
| CN102984159A (zh) * | 2012-12-05 | 2013-03-20 | 浙江省电力公司 | 基于终端访问行为的安全接入逻辑控制方法及平台服务器 |
| CN104519305A (zh) * | 2013-09-29 | 2015-04-15 | 中兴通讯股份有限公司 | 端点信息交互处理方法、装置及远程呈现端点 |
| CN104980429A (zh) * | 2015-05-06 | 2015-10-14 | 努比亚技术有限公司 | 一种基于虚拟用户识别卡统一账户登录方法、装置及系统 |
| CN106776689A (zh) * | 2016-11-10 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种主机信息查询方法、装置和主机 |
| CN108347462A (zh) * | 2017-01-23 | 2018-07-31 | 阿里巴巴集团控股有限公司 | 一种传输操作数据的方法及设备 |
| CN108469972A (zh) * | 2017-02-20 | 2018-08-31 | 阿里巴巴集团控股有限公司 | 支持web页面中显示多窗口的方法和装置 |
| CN109117224A (zh) * | 2018-07-26 | 2019-01-01 | 深信服科技股份有限公司 | 一种在控制台图形化更改配置的方法及默认虚拟终端 |
| CN111008041A (zh) * | 2019-12-04 | 2020-04-14 | 北京百度网讯科技有限公司 | 用于主机的命令处理方法、装置、电子设备和存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113364758B (zh) * | 2021-06-24 | 2021-12-28 | 珠海市鸿瑞信息技术股份有限公司 | 一种基于堡垒机的网络安全运维管理系统 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6874086B1 (en) * | 2000-08-10 | 2005-03-29 | Oridus, Inc. | Method and apparatus implemented in a firewall for communicating information between programs employing different protocols |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1741056A (zh) * | 2005-09-28 | 2006-03-01 | 北京远征伟业信息技术有限公司 | 多功能网络集成服务器 |
| US8683062B2 (en) * | 2008-02-28 | 2014-03-25 | Microsoft Corporation | Centralized publishing of network resources |
-
2009
- 2009-10-22 CN CN 200910205529 patent/CN102045375B/zh not_active Expired - Fee Related
-
2010
- 2010-10-21 WO PCT/CN2010/077936 patent/WO2011047626A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6874086B1 (en) * | 2000-08-10 | 2005-03-29 | Oridus, Inc. | Method and apparatus implemented in a firewall for communicating information between programs employing different protocols |
Non-Patent Citations (1)
| Title |
|---|
| 杨波: "基于web的集中身份认证管理系统的网管子系统的设计与实现", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102592196A (zh) * | 2011-12-29 | 2012-07-18 | 深圳市酷开网络科技有限公司 | 电子保单管理方法及系统 |
| CN102592196B (zh) * | 2011-12-29 | 2015-09-30 | 深圳市酷开网络科技有限公司 | 电子保单管理方法及系统 |
| CN102546809A (zh) * | 2012-01-16 | 2012-07-04 | 东莞市正欣科技有限公司 | 大规模服务器集群的统一控制方法 |
| CN102984159B (zh) * | 2012-12-05 | 2016-03-30 | 浙江省电力公司 | 基于终端访问行为的安全接入逻辑控制方法及平台服务器 |
| CN102984159A (zh) * | 2012-12-05 | 2013-03-20 | 浙江省电力公司 | 基于终端访问行为的安全接入逻辑控制方法及平台服务器 |
| CN104519305A (zh) * | 2013-09-29 | 2015-04-15 | 中兴通讯股份有限公司 | 端点信息交互处理方法、装置及远程呈现端点 |
| CN104980429A (zh) * | 2015-05-06 | 2015-10-14 | 努比亚技术有限公司 | 一种基于虚拟用户识别卡统一账户登录方法、装置及系统 |
| CN106776689A (zh) * | 2016-11-10 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种主机信息查询方法、装置和主机 |
| CN108347462A (zh) * | 2017-01-23 | 2018-07-31 | 阿里巴巴集团控股有限公司 | 一种传输操作数据的方法及设备 |
| CN108347462B (zh) * | 2017-01-23 | 2021-02-23 | 阿里巴巴集团控股有限公司 | 一种传输操作数据的方法及设备 |
| CN108469972A (zh) * | 2017-02-20 | 2018-08-31 | 阿里巴巴集团控股有限公司 | 支持web页面中显示多窗口的方法和装置 |
| CN108469972B (zh) * | 2017-02-20 | 2021-09-24 | 阿里巴巴集团控股有限公司 | 支持web页面中显示多窗口的方法和装置 |
| CN109117224A (zh) * | 2018-07-26 | 2019-01-01 | 深信服科技股份有限公司 | 一种在控制台图形化更改配置的方法及默认虚拟终端 |
| CN111008041A (zh) * | 2019-12-04 | 2020-04-14 | 北京百度网讯科技有限公司 | 用于主机的命令处理方法、装置、电子设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102045375B (zh) | 2013-09-11 |
| WO2011047626A1 (zh) | 2011-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102045375B (zh) | 远程命令交互方法及堡垒主机 | |
| CN108173850B (zh) | 一种基于区块链智能合约的身份认证系统和身份认证方法 | |
| CN101083537B (zh) | 一种实现设备管理的方法、装置和系统 | |
| CN103795690B (zh) | 一种云访问控制的方法、代理服务器和系统 | |
| CN104410813A (zh) | 视频监控系统中用户帐号与监控设备的绑定方法及装置 | |
| CN101841537A (zh) | 一种基于协议代理实现对文件共享访问控制方法及系统 | |
| CN107733861A (zh) | 一种基于企业级内外网环境的无密码登录实现方法 | |
| CN106161617A (zh) | 基于nodejs的反向代理方法、反向代理服务器及系统 | |
| CN105516133A (zh) | 用户身份的验证方法、服务器及客户端 | |
| CN104579626A (zh) | 一种基于单向传输的电子文档输出管控系统及方法 | |
| CN104468119A (zh) | 一种一次性密码认证系统及认证方法 | |
| CN110880146A (zh) | 区块链上链方法、装置、电子设备及存储介质 | |
| CN110099129A (zh) | 一种数据传输方法以及设备 | |
| CN101478555A (zh) | 一种提高电子邮件安全性的方法、系统及设备 | |
| CN107734046A (zh) | 远程操作数据库的方法、服务端、客户端和系统 | |
| CN103200168A (zh) | 通过广域网与网络硬盘装置交互的方法及网络硬盘装置 | |
| CN109327455A (zh) | 一种nas设备的访问方法、装置、设备及可读存储介质 | |
| CN109889514A (zh) | 一种认证扫描方法及web应用扫描系统 | |
| CN109672744A (zh) | 一种用户无感知的图像堡垒机方法及系统 | |
| CN113114629A (zh) | 基于区块链的合同管理方法、装置、设备及存储介质 | |
| CN104102462A (zh) | 一种自助远程智能打印系统 | |
| CN106529216A (zh) | 一种基于公共存储平台的软件授权系统及软件授权方法 | |
| CN113727288B (zh) | 一种基于5g消息的静默客服机器人 | |
| CN110034979A (zh) | 一种代理资源监测方法、装置、电子设备及存储介质 | |
| CN101325523B (zh) | 在客户端与伺服器端建立网络连线的方法及其相关系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130911 Termination date: 20161022 |