CN102333068B - 一种基于ssh、sftp隧道智能管控系统及方法 - Google Patents
一种基于ssh、sftp隧道智能管控系统及方法 Download PDFInfo
- Publication number
- CN102333068B CN102333068B CN201110066093.4A CN201110066093A CN102333068B CN 102333068 B CN102333068 B CN 102333068B CN 201110066093 A CN201110066093 A CN 201110066093A CN 102333068 B CN102333068 B CN 102333068B
- Authority
- CN
- China
- Prior art keywords
- authentication
- client
- server
- ssh
- sftp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于SSH、SFTP隧道智能管控系统,它包括传输单元和认证单元,它还包括命令可控单元,命令可控单元,捕获客户端使用的操作命令,并对该操作命令的可行性进行判断及处理。本发明还涉及一种基于SSH、SFTP隧道智能管控方法。本发明的有益效果是:使隧道的管理和运行可视、可控和可管理,解决SSH、SFTP服务器系统级别的安全问题、安全威胁,为企业IT环境中服务器的正常有序运行,提供可靠的安全保障。
Description
技术领域
本发明涉及一种基于SSH、SFTP隧道智能管控系统及方法。
背景技术
SSH(Secure Shell)协议是一种在不安全的网络环境中,通过加密和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。
SSH协议具有以下一些优点:数据传输采用密文的方式,保证信息交互的机密性;用户的认证信息以密文的方式传输,可以有效地防止用户信息被窃听;除了传统的密码认证,SSH服务器还可以采用多种方式对用户进行认证(如安全性级别更高的公钥认证),提高了用户认证的强度;客户端和服务器端之间通信使用的加解密密钥,都是通过密钥交互过程动态生成的,可以防止对加解密密钥的暴力猜测,安全性级别比手工配置密钥的方式高;为客户端提供了认证服务器的功能,可以防止“伪服务器欺骗”。
SFTP(Secure File Transfer Protocol)利用SSH协议提供的安全通道,实现对网络设备的远程文件操作,是SSH协议中规定的一项扩展应用。
现有的隧道管控中,运用SSH、SFTP访问和操作的管控机制,但是,传统的访问SSH、SFTP服务的方式,存在诸多不安群因素。
发明内容
针对以上不足,本发明提供一种基于SSH、SFTP隧道智能管控系统及方法。
本发明解决上述技术问题的技术方案如下:一种基于SSH、SFTP隧道智能管控系统,它包括客户端、服务器、传输单元和认证单元,它还包括命令可控单元,
所述命令可控单元,捕获客户端使用的操作命令,并对该操作命令的可行性进行判断及处理。
进一步的,它还包括可视单元,
所述可视单元,客户端可直接显示服务器上的操作过程及其运行结果,实现SSH服务的实时监控功能。
一种采用基于SSH、SFTP隧道智能管控系统的隧道智能管控的方法,它包括以下步骤:
步骤1:客户端向服务器发送认证请求;
步骤2:服务器接收认证请求,并验证;
步骤3:客户端认证成功,进行相关操作;
步骤4:服务器捕获客户端的操作命令,并对该操作命令的可行性进行判断及处理。
进一步的,它还包括以下步骤:
步骤5:客户端向服务器发出可视请求;
步骤:6:服务器将所记录的客户端的操作行为及其结果返回客户端;
步骤7:客户端接收服务端传送的数据并显示。
进一步的,步骤4包括以下子步骤:
步骤4.1:服务器捕获客户端的操作命令;
步骤4.2:服务器将捕获的操作命令与服务器内的命令黑白名单进行比对;
步骤4.3:服务器将属于命令黑名单的操作命令作出阻断或禁止执行的处理,并发出警告信息;使命令白名单的操作命令继续执行。
进一步的,步骤4.3为服务器对非法或无权限命令进行阻断和告警处理;违反安全策略的操作命令,将被禁止执行并发出告警信息。
进一步的,认证请求的方式包括密码认证和公钥认证。
本发明的有益效果是:使隧道的管理和运行可视、可控和可管理,系统管理员可以直观的了解服务器上发生过的操作命令及其运行结果,实现SSH服务的实时监控功能,解决SSH、SFTP服务器系统级别的安全问题、安全威胁,为企业IT环境中服务器的正常有序运行,提供可靠的安全保障。
附图说明
图1为本发明隧道智能管控系统结构框图;
图2为本发明隧道智能管控方法的流程图;
图3为客户端认证的流程图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
如图1所示,一种基于SSH、SFTP隧道智能管控系统,它包括客户端、服务器、传输单元和认证单元,它还包括命令可控单元,
所述命令可控单元,捕获客户端使用的操作命令,并对该操作命令的可行性进行判断及处理。
一种采用基于SSH、SFTP隧道智能管控系统的隧道智能管控的方法,它包括以下步骤:
步骤1:客户端向服务器发送认证请求;
步骤2:服务器接收认证请求,并验证;
步骤3:客户端认证成功,进行相关操作;
步骤4:服务器捕获客户端的操作命令,并对该操作命令的可行性进行判断及处理。
它还包括可视单元,
所述可视单元,客户端可直接显示服务器上的操作过程及其运行结果,实现SSH服务的实时监控功能。
如图2所示,一种采用基于SSH、SFTP隧道智能管控系统的隧道智能管控的方法,它包括以下步骤:
步骤1:客户端向服务器发送认证请求;
步骤2:服务器接收认证请求,并处理;
步骤3:客户端认证成功,进行相关操作;
步骤4:服务器捕获客户端的操作命令,并对该操作命令的可行性进行判断及处理。
步骤5:客户端向服务器发出可视请求;
步骤:6:服务器将所记录的客户端的操作行为及其结果返回客户端;
步骤7:客户端接收服务端传送的数据并显示。
步骤4包括以下子步骤:
步骤4.1:服务器捕获客户端的操作命令;
步骤4.2:服务器将捕获的操作命令与服务器内的命令黑白名单进行比对;
步骤4.3:服务器将属于命令黑名单的操作命令作出阻断或禁止执行的处理,并发出警告信息;使命令白名单的操作命令继续执行。
步骤4.3为服务器对非法或无权限命令进行阻断和告警处理;违反安全策略的操作命令,将被禁止执行并发出告警信息。
认证请求的方式包括密码认证和公钥认证。
本发明采用java语言编写的程序如下:
执行远程Shell脚本
/**
* Title:执行远程Shell脚本
* Copyright: Copyright (c) 201007
* Company: si-tech
* author zengls
* version 1.0
* param ip:远端IP
* param port:远端端口
* param userName:远端主机用户名
* param password:远端主机密码
* param remotePath:远端文件目录路径
* param videoid:录像编号
*/
public static void executeRemoteShell(String ip,String port,String userName,String password,
String shell,int videoid)
2、获取SFTP连接
/**
* Title:获取SFTP连接
* Copyright: Copyright (c) 201007
* Company: si-tech
* author zengls
* version 1.0
* param ip:远端IP
* param port:远端端口
* param userName:远端主机用户名
* param password:远端主机密码
*/
public static FTPClient getSftpConnection(String ip,String port,String userName,String password,
TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
3、断开连接Sftp连接
/**
* Title:断开连接Sftp连接
* Copyright: Copyright (c) 201007
* Company: si-tech
* author zengls
* version 1.0
* param sftp:sftp连接
*/
public static void quitSftpConnection(FTPClient sftp,TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
4、递归远程文件下载到本地目录
/**
* Title:递归远程文件下载到本地目录
* Copyright: Copyright (c) 201007
* Company: si-tech
* author zengls
* version 1.0
* param sftp:sftp连接
* param remotePath:远端文件目录路径
* param localPath:本地文件目录路径
*/
public static void recursionDownload(FTPClient sftp,String remotePath,String localPath,
TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
5、递归创建远程目录
/**
* Title:递归创建远程目录
* Copyright: Copyright (c) 201007
* Company: si-tech
* author zengls
* version 1.0
* param remotePath:远端文件目录
*/
private static void recursionMkdir(FTPClient sftp,String remotePath)
6、本地文件递归上传远程目录
/**
* Title:本地文件递归上传远程目录
* Copyright: Copyright (c) 201007
* Company: si-tech
* author zengls
* version 1.0
* param remotePath:远端文件目录路径
* param localPath:本地文件目录路径
*/
public static void recursionUpload(FTPClient sftp,String remotePath,String localPath,TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
7、递归清空远程目录
/**
* Title:递归清空远程目录
* Copyright: Copyright (c) 201007
* Company: si-tech
* author zengls
* version 1.0
* param remotePath:远端文件目录路径
*/
public static void recursionDelete(FTPClient sftp,String remotePath,TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
8、下载指定远程文件到本地
/**
* Title:下载指定远程文件到本地
* Copyright: Copyright (c) 201007
* Company: si-tech
* author zengls
* version 1.0
* param remoteFileName:远端文件
* param localPath:本地目录
*/
public static void downloadRemoteFileToLocal(FTPClient sftp,String remoteFileName,String localPath,
TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
9、本地指定文件上传远程目录
/**
* Title:本地指定文件上传远程目录
* Copyright: Copyright (c) 201007
* Company: si-tech
* author zengls
* version 1.0
* param remotePath:远端文件目录路径
* param localFileName:本地文件
*/
public static void uploadLocalFileToRemote(FTPClient sftp,String remotePath,String localFileName,
TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
如图3所示,客户端认证过程如下:
(1)客户端向服务器端发送认证请求,其中携带的认证方式为“none”。
(2)服务器收到none方式认证请求,回复认证挑战报文,其中携带服务器支持、且需要该用户完成的认证方式列表。
(3)客户端从服务器发送给自己的认证方式列表中选择某种认证方式,向服务器发起认证请求,认证请求中包含用户名、认证方法、与该认证方法相关的内容:
密码认证方式中,内容为用户的密码;
公钥认证方式中,内容为用户本地密钥对的公钥部分(公钥验证阶段)或者数字签名(数字签名验证阶段)。
(4)服务器接收到客户端的认证请求,验证客户端的认证信息:
密码认证方式:服务器将客户端发送的用户名和密码信息,与设备上或者远程认证服务器上保存的用户名和密码进行比较,从而判断认证成功或失败。
公钥认证方式:服务器对公钥进行合法性检查,如果不合法,则认证失败;否则,服务器利用数字签名对客户端进行认证,从而判断认证成功或失败。
(5)服务器根据本端上该用户的配置,以及用户认证的完成情况,决定是否需要客户端继续认证,分为以下几种情况:
如果该种认证方式认证成功,且该用户不需要继续完成其他认证,则服务器回复认证成功消息,认证过程顺利完成。
如果该种认证方式认证成功,但该用户还需要继续完成其他认证,则回复认证失败消息,继续向客户端发出认证挑战,在报文中携带服务器需要客户端继续完成的认证方式列表;
如果该种认证方式认证失败,用户的认证次数尚未到达认证次数的最大值,服务器继续向客户端发送认证挑战;
如果该种认证方式认证失败,且用户的认证次数达到认证次数的最大值,用户认证失败,服务器断开和客户端之间的连接。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于SSH、SFTP隧道智能管控系统,它包括客户端、服务器、传输单元和认证单元,其特征在于:它还包括命令可控单元,
所述命令可控单元,捕获客户端使用的操作命令,并对该操作命令的可行性进行判断及处理;
客户端向服务器端发送认证请求,其中携带的认证方式为“none”;
服务器收到none方式认证请求,回复认证挑战报文,其中携带服务器支持、且需要该客户端完成的认证方式列表;
客户端从服务器发送给自己的认证方式列表中选择某种认证方式,向服务器发起认证请求;
服务器接收到客户端的认证请求,验证客户端的认证信息,并判断认证成功或失败;
所述服务器根据本端上该客户端的配置,以及客户端认证的完成情况,决定是否需要客户端继续认证,分为以下几种情况:
如果该种认证方式认证成功,且该客户端不需要继续完成其他认证,则服务器回复认证成功消息,认证过程顺利完成;
如果该种认证方式认证成功,但该客户端还需要继续完成其他认证,则回复认证失败消息,继续向客户端发出认证挑战,在报文中携带服务器需要客户端继续完成的认证方式列表;
如果该种认证方式认证失败,客户端的认证次数尚未到达认证次数的最大值,服务器继续向客户端发送认证挑战;
如果该种认证方式认证失败,且客户端的认证次数达到认证次数的最大值,客户端认证失败,服务器断开和客户端之间的连接。
2.根据权利要求1所述的基于SSH、SFTP隧道智能管控系统,其特征在于:它还包括可视单元,
所述可视单元,客户端可直接显示服务器上的操作过程及其运行结果,实现SSH服务的实时监控功能。
3.一种采用权利要求1所述的基于SSH、SFTP隧道智能管控系统的隧道智能管控方法,其特征在于:它包括以下步骤:
步骤1:客户端向服务器发送认证请求;
步骤2:服务器接收认证请求,并验证;
步骤3:若客户端认证成功,进行相关操作;
步骤4:服务器捕获客户端的操作命令,并对该操作命令的可行性进行判断及处理;
其中,步骤1具体包括以下内容:客户端向服务器端发送认证请求,其中携带的认证方式为“none”;
服务器收到none方式认证请求,回复认证挑战报文,其中携带服务器支持、且需要该客户端完成的认证方式列表;
步骤2具体包括以下内容:客户端从服务器发送给自己的认证方式列表中选择某种认证方式,向服务器发起认证请求;
服务器接收到客户端的认证请求,验证客户端的认证信息,并判断认证成功或失败;
其中步骤2和步骤3之间还包括:服务器根据本端上该客户端的配置,以及客户端认证的完成情况,决定是否需要客户端继续认证,分为以下几种情况:
如果该种认证方式认证成功,且该客户端不需要继续完成其他认证,则服务器回复认证成功消息,认证过程顺利完成;
如果该种认证方式认证成功,但该客户端还需要继续完成其他认证,则回复认证失败消息,继续向客户端发出认证挑战,在报文中携带服务器需要客户端继续完成的认证方式列表;
如果该种认证方式认证失败,客户端的认证次数尚未到达认证次数的最大值,服务器继续向客户端发送认证挑战;
如果该种认证方式认证失败,且客户端的认证次数达到认证次数的最大值,客户端认证失败,服务器断开和客户端之间的连接。
4.根据权利要求3所述的基于SSH、SFTP隧道智能管控方法,其特征在于:它还包括以下步骤:
步骤5:客户端向服务器发出可视请求;
步骤6:服务器将所记录的客户端的操作行为及其结果返回客户端;
步骤7:客户端接收服务端传送的数据并显示。
5.根据权利要求3或4所述的基于SSH、SFTP隧道智能管控的方法,其特征在于:所述步骤4包括以下子步骤:
步骤4.1:服务器捕获客户端的操作命令;
步骤4.2:服务器将捕获的操作命令与服务器内的命令黑白名单进行比对;
步骤4.3:服务器将属于命令黑名单的操作命令作出阻断或禁止执行的处理,并发出警告信息;使命令白名单的操作命令继续执行。
6.根据权利要求5所述的基于SSH、SFTP隧道智能管控的方法,其特征在于:所述步骤4.3为服务器对非法或无权限命令进行阻断和告警处理;违反安全策略的操作命令,将被禁止执行并发出告警信息。
7.根据权利要求3或4所述的基于SSH、SFTP隧道智能管控的方法,其特征在于:所述认证请求的方式包括密码认证和公钥认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110066093.4A CN102333068B (zh) | 2011-03-18 | 2011-03-18 | 一种基于ssh、sftp隧道智能管控系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110066093.4A CN102333068B (zh) | 2011-03-18 | 2011-03-18 | 一种基于ssh、sftp隧道智能管控系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102333068A CN102333068A (zh) | 2012-01-25 |
| CN102333068B true CN102333068B (zh) | 2014-04-02 |
Family
ID=45484675
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110066093.4A Active CN102333068B (zh) | 2011-03-18 | 2011-03-18 | 一种基于ssh、sftp隧道智能管控系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102333068B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932376B (zh) * | 2012-11-26 | 2015-06-17 | 北京神州绿盟信息安全科技股份有限公司 | 文件传输系统与方法 |
| CN105279421B (zh) * | 2014-06-19 | 2019-07-12 | 上海辇联网络科技有限公司 | 一种基于车联网接入obd ii的信息安全的检测系统及方法 |
| CN106790364A (zh) * | 2016-11-14 | 2017-05-31 | 天脉聚源(北京)传媒科技有限公司 | 一种远程登录方法及装置 |
| CN108111469B (zh) * | 2016-11-24 | 2020-06-02 | 阿里巴巴集团控股有限公司 | 一种在集群中建立安全通道的方法和装置 |
| CN107592314A (zh) * | 2017-09-20 | 2018-01-16 | 郑州云海信息技术有限公司 | 一种命令行权限控制方法及装置 |
| CN114143032B (zh) * | 2021-11-01 | 2023-07-07 | 北京银盾泰安网络科技有限公司 | 一种基于ssh的pc端互访系统及其交互方法 |
| CN115150155A (zh) * | 2022-06-29 | 2022-10-04 | 北京天融信网络安全技术有限公司 | 一种ssh连接的安全加固方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068255A (zh) * | 2007-06-14 | 2007-11-07 | 杭州华三通信技术有限公司 | 安全外壳协议应用中的用户认证方法及装置 |
| CN101110702A (zh) * | 2007-08-14 | 2008-01-23 | 中兴通讯股份有限公司 | 一种命令行接口权限分级的方法及其系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2002253738A1 (en) * | 2002-04-09 | 2003-10-27 | Telefonaktiebolaget L M Ericsson (Publ) | Secure file transfer |
-
2011
- 2011-03-18 CN CN201110066093.4A patent/CN102333068B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101068255A (zh) * | 2007-06-14 | 2007-11-07 | 杭州华三通信技术有限公司 | 安全外壳协议应用中的用户认证方法及装置 |
| CN101110702A (zh) * | 2007-08-14 | 2008-01-23 | 中兴通讯股份有限公司 | 一种命令行接口权限分级的方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102333068A (zh) | 2012-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102333068B (zh) | 一种基于ssh、sftp隧道智能管控系统及方法 | |
| Yu et al. | A view about cloud data security from data life cycle | |
| EP2887576B1 (en) | Software key updating method and device | |
| CN109460660B (zh) | 一种移动设备安全管理系统 | |
| CN106453361B (zh) | 一种网络信息的安全保护方法及系统 | |
| CN105260663A (zh) | 一种基于TrustZone技术的安全存储服务系统及方法 | |
| CN103455763A (zh) | 一种保护用户个人隐私的上网日志记录系统及方法 | |
| CN103001976A (zh) | 一种安全的网络信息传输方法 | |
| CN103248479A (zh) | 云存储安全系统、数据保护以及共享方法 | |
| US20170118015A1 (en) | Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device | |
| Jeong et al. | An efficient authentication system of smart device using multi factors in mobile cloud service architecture | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| CN104754571A (zh) | 用于多媒体数据传输的用户认证实现方法、装置及其系统 | |
| CN110445782B (zh) | 一种多媒体安全播控系统及方法 | |
| CN104125223A (zh) | 一种移动设备隐私数据的安全防护系统 | |
| KR101133210B1 (ko) | 모바일 클라이언트 단말기의 보안인증시스템 | |
| CN104852904B (zh) | 一种基于手机app应用和加密短信息的服务器远程重启方法 | |
| Sung et al. | Security analysis of mobile authentication using qr-codes | |
| CN106096336A (zh) | 软件防破解方法和系统 | |
| CN105991524A (zh) | 家庭信息安全系统 | |
| KR20150005789A (ko) | 인증서를 이용한 사용자 인증 방법 | |
| CN107864136A (zh) | 一种防止系统短信服务被盗用的方法 | |
| KR20020083551A (ko) | 멀티에이전트 기반 다단계 사용자 인증 시스템 개발과운용 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100085 Haidian District, Zhongguancun, South Street, No. 6,, building information, floor, No. 16 Applicant after: SI-TECH Information Technology Ltd. Address before: 100085, Beijing, Haidian District on the nine Street 9 digital science and Technology Plaza, two floor Applicant before: Beijing Digital China SI-TECH Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: BEIJING DIGITAL CHINA SI-TECH INFORMATION TECHNOLOGY LTD. TO: BEIJING SI-TECH INFORMATION TECHNOLOGY LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |