具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明作详细说明。
如图1所示,本发明实施例提供的基于安全外壳协议的数据处理方法,包括:
101、接收业务服务器发送的安全外壳协议鉴权请求消息。
所述业务服务器是客户端的运维管理对象,在客户端通过安全外壳协议代理装置和业务服务器建立了安全外壳协议连接后,由业务服务器发送安全外壳协议鉴权请求消息到安全外壳协议代理装置。所述安全外壳协议鉴权请求消息用于向客户端请求登陆业务服务器的账户以及密码等,但不仅局限于此。
102、向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端。
为了提高对业务服务器的安全保护,在所述安全外壳协议鉴权请求消息的基础上,增加强化鉴权请求消息,可以向客户端发送强化鉴权请求消息和所述安全外壳协议鉴权请求消息。所述强化鉴权请求消息用于要求客户端提供动态令牌信息、指纹信息、密钥证书信息等,但不仅局限于此。
103、接收所述客户端发送的鉴权响应消息。
其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息。所述安全外壳协议鉴权响应消息与所述安全外壳协议鉴权请求消息对应,可以是用于登陆业务服务器的账号以及密码等信息。所述强化鉴权响应消息与所述强化鉴权请求消息对应,可以是动态令牌信息、指纹信息、密钥证书信息等,但不仅局限于此。
104、对所述强化鉴权响应消息进行验证。
具体的,跟据所述强化鉴权响应消息的具体类型,进行验证。例如可以是指纹信息验证、动态令牌验证等。
105、若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。
具体的,在对安全外壳协议鉴权响应消息进行验证的基础上增加对强化鉴权响应消息的验证,从而进一步确认了所述客户端的身份,保证了所述业务服务器的安全。
值得说明的是,本发明实施例提供的基于安全外壳协议的数据处理方法的执行主体是一种安全外壳协议代理装置。
本发明实施例提供的基于安全外壳协议的数据处理方法,安全外壳协议代理装置接收业务服务器发送的安全外壳协议鉴权请求消息,并向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。安全外壳协议代理装置能够对客户端进行鉴权,同时仅进行消息的转发,而不存储较为敏感的鉴权认证信息等。而现有技术中,堡垒机中存储有大量的较为敏感的鉴权认证信息,容易造成鉴权认证信息泄露。因此,本发明基于安全外壳协议的数据处理方式的安全性较高。
进一步的,如图2所示,本发明又一实施例提供的基于安全外壳协议的数据处理方法,应用于具有客户端、业务服务器、安全外壳协议代理装置、超文本传输协议代理服务器以及Linux虚拟服务器的基于安全外壳协议的数据处理系统。其中,所述安全外壳协议代理装置、超文本传输协议代理服务器以及Linux虚拟服务器均可以采用集群方式。所述方法包括:
201、所述客户端通过超文本传输协议向Linux虚拟服务器集群发送安全外壳协议连接请求消息。
所述客户端用于对业务服务器进行运维管理,所述客户端可以是openSSH软件、Secure CRT软件等支持通过超文本传输协议来建立安全外壳协议连接的客户端软件。
202、所述Linux虚拟服务器集群中的Linux虚拟服务器根据超文本传输协议代理服务器集群中的各超文本传输协议代理服务器的负载,将所述安全外壳协议连接请求消息转发到其中一个超文本传输协议代理服务器。
为了获取到超文本传输协议代理服务器集群中最优的超文本传输协议代理服务器,一般需要获知到各超文本传输协议代理服务器的负载,可以选择获取到负载最低的超文本传输协议代理服务器。并将所述安全外壳协议连接请求消息转发到所述该负载最低的超文本传输协议代理服务器。Linux虚拟服务器每次接受到安全外壳协议连接请求消息均可采用此方式获取到优选的超文本传输协议代理服务器,从而保证了整个系统的负载均衡。
203、所述超文本传输协议代理服务器根据安全外壳协议代理装置集群中各安全外壳协议代理装置的负载,将所述安全外壳协议连接请求消息转发到其中一个安全外壳协议代理装置。
其中,所述超文本传输协议代理服务器可以通过传输控制协议连接所述安全外壳代理装置。
同样的,所述超文本传输协议代理服务器也可以获取到负载最低的安全外壳协议代理装置,并将所述安全外壳协议连接请求消息转发到该负载最低的安全外壳协议代理装置,从而更进一步的保证了整个系统的负载均衡。
204、所述安全外壳协议代理装置与客户端建立安全外壳协议连接,并与业务服务器进行安全外壳协议连接。
205、所述业务服务器向安全外壳协议代理装置发送安全外壳协议鉴权请求消息。
其中,所述安全外壳协议鉴权请求消息用于向客户端请求登陆业务服务器的账户以及密码等,但不仅局限于此。
206、所述安全外壳协议代理装置将强化鉴权请求消息和所述安全外壳协议鉴权请求消息发送给所述客户端。
为了提高对业务服务器的安全保护,还可以向客户端发送强化鉴权请求消息。所述强化鉴权请求消息用于要求客户端提供动态令牌信息、指纹信息、密钥证书信息等,但不仅局限于此。
207、所述客户端向所述安全外壳协议代理装置发送鉴权响应消息。
其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息。所述安全外壳协议鉴权响应消息与所述安全外壳协议鉴权请求消息对应,可以是用于登陆业务服务器的账号以及密码等信息。所述强化鉴权响应消息与所述强化鉴权请求消息对应,可以是动态令牌信息、指纹信息、密钥证书信息等,但不仅局限于此。
208、所述安全外壳协议代理装置对所述强化鉴权响应消息进行验证,并确定验证是否成功。若验证失败,执行步骤209;若验证成功,执行步骤210。
对所述强化鉴权响应消息进行验证可以是例如指纹信息验证、动态令牌验证等。
209、所述客户端与所述业务服务器不能进行数据交互。
若验证失败,则表示所述客户端可能是非法客户端,若允许该非法客户端运维操作所述业务服务器上的数据,则可能造成所述业务服务器瘫痪、数据丢失等不良后果。
210、所述安全外壳协议代理装置将所述安全外壳协议鉴权响应消息发送给所述业务服务器。
若验证成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器以进行后续的进一步鉴权验证。
211、所述业务服务器对所述安全外壳协议鉴权响应消息进行验证,并确定验证是否成功。若验证失败,返回执行步骤205。若验证成功,执行步骤212。
212、所述业务服务器向所述安全外壳协议代理装置发送对所述安全外壳协议鉴权响应消息进行验证的验证成功消息。
213、所述安全外壳协议代理装置将所述验证成功消息发送给所述客户端。
所述验证成功消息用于指示所述客户端可以对所述业务服务器进行运维管理。
上述的步骤201-213属于安全外壳协议代理装置登陆业务服务器的流程,具体的流程方式可以如图3所示。
214、所述客户端向所述Linux虚拟服务器发送超文本传输协议数据包。
所述超文本传输协议数据包中带有安全外壳协议数据内容,该安全外壳协议数据内容可以包含对业务服务器进行运维管理的数据。所述对业务服务器进行运维管理可以是更改、删除所述业务服务器的数据库中的数据,或者向所述业务服务器的数据库中增加数据等,但不仅局限于此。
215、所述Linux虚拟服务器根据各超文本传输协议代理服务器的负载,选取一个超文本传输协议代理服务器,并将所述超文本传输协议数据包发送给所述超文本传输协议代理服务器。
通过根据各超文本传输协议代理服务器的负载,选取一个优选的超文本传输协议代理服务器来处理所述超文本传输协议数据包,可以保证整个系统的负载均衡。
216、所述超文本传输协议代理服务器解析所述超文本传输协议数据包,得到安全外壳协议数据包,并根据各安全外壳协议代理装置的负载,选取一个所述安全外壳协议代理装置,并将所述安全外壳协议数据包发送给所述安全外壳协议代理装置。
所述超文本传输协议代理服务器将所述超文本传输协议数据包中的安全外壳协议数据内容获取到,并打包形成安全外壳协议数据包。同时通过根据各安全外壳协议代理装置的负载,选取一个优选的安全外壳协议代理装置来处理所述安全外壳协议数据包,可以进一步保证整个系统的负载均衡。
217、所述安全外壳协议代理装置对所述安全外壳协议数据包进行解密,以获取得到已解密数据包。
218、所述安全外壳协议代理装置将所述已解密数据包进行旁路解析,获取得到待审计内容。之后执行步骤219和步骤220。
219、所述安全外壳协议代理装置将所述已解密数据包进行加密,以获取得到已加密数据包,并将所述已加密数据包发送给所述业务服务器。
为了保证数据的安全性,若向所述业务服务器继续发送数据,则需要对已解密数据包进行加密。
220、所述安全外壳协议代理装置将所述待审计内容进行旁路审计,以确定所述待审计内容是否满足预先设置的审计规则。
本发明中采用旁路审计的方式,而避免采用串联审计方式,所述旁路审计的方式是将所述已解密数据包的数据进行复制,将复制后的数据进行旁路审计,而原来的数据继续进行加密,并发送给业务服务器。
所述审计规则可以存储于所述安全外壳协议代理装置中,所述审计规则中可以记载各种危险操作行为,例如对业务服务器的数据库中的关键数据的更改,向业务服务器的数据库植入恶意数据等。
221、若所述待审计内容不满足预先设置的审计规则,所述安全外壳协议代理装置向外发出告警指示信息。
具体的所述安全外壳代理装置可以将所述告警指示信息发送给预先设置的监控主机,从而由监控主机对告警指示信息进行显示输出。
本发明又一实施例提供的基于安全外壳协议的数据处理方法,安全外壳协议代理装置接收业务服务器发送的安全外壳协议鉴权请求消息,并向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。安全外壳协议代理装置能够对客户端进行鉴权,同时仅进行消息的转发,而不存储较为敏感的鉴权认证信息等。而现有技术中,堡垒机中存储有大量的较为敏感的鉴权认证信息,容易造成鉴权认证信息泄露。因此,本发明基于安全外壳协议的数据处理方式的安全性较高。
对应于上述图1和图2所述的基于安全外壳协议的数据处理方法,如图4所示,本发明实施例提供的安全外壳协议代理装置,包括:
接收单元41,用于接收业务服务器发送的安全外壳协议鉴权请求消息。
发送单元42,用于向客户端发送强化鉴权请求消息,并将所述接收单元41接收的安全外壳协议鉴权请求消息发送给所述客户端。
所述接收单元41,还用于接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息。
鉴权验证单元43,用于对所述接收单元41接收的强化鉴权响应消息进行验证。
所述发送单元42,还用于若所述鉴权验证单元43验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。
进一步的,如图5所示,所述安全外壳协议代理装置,还包括:
连接单元44,用于通过超文本传输协议代理服务器与客户端建立安全外壳协议连接,并与业务服务器进行安全外壳协议连接。
具体的,所述接收单元41,用于接收所述业务服务器返回的对所述安全外壳协议鉴权响应消息进行验证的验证成功消息。
所述发送单元42,用于将所述接收单元41接收的验证成功消息发送给所述客户端。
所述接收单元41,还用于接收安全外壳协议数据包。
具体的,如图5所示,所述接收单元41,用于接收所述超文本传输协议代理服务器解析超文本传输协议数据包而得到的安全外壳协议数据包;其中,所述超文本传输协议数据包由所述客户端发送给Linux虚拟服务器,并经过所述Linux虚拟服务器根据各超文本传输协议代理服务器的负载分配给所述超文本传输协议代理服务器。
进一步的,如图5所示,所述安全外壳协议代理装置,还包括:
解密单元45,用于对所述接收单元41接收的安全外壳协议数据包进行解密,以获取得到已解密数据包。
解析单元46,用于将所述解密单元45获取的已解密数据包进行旁路解析,获取得到待审计内容。
审计单元47,用于将所述解析单元46获取的所述待审计内容进行旁路审计,以确定所述待审计内容是否满足预先设置的审计规则。
加密单元48,用于将所述解密单元45获取的已解密数据包进行加密,以获取得到已加密数据包。
所述发送单元42,用于将所述加密单元48获取的已加密数据包发送给所述业务服务器。
本发明实施例提供的安全外壳协议代理装置,安全外壳协议代理装置接收业务服务器发送的安全外壳协议鉴权请求消息,并向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。安全外壳协议代理装置能够对客户端进行鉴权,同时仅进行消息的转发,而不存储较为敏感的鉴权认证信息等。而现有技术中,堡垒机中存储有大量的较为敏感的鉴权认证信息,容易造成鉴权认证信息泄露。因此,本发明基于安全外壳协议的数据处理方式的安全性较高。
对应上述的图1和图2所述的基于安全外壳协议的数据处理方法,如图6所示,本发明实施例提供的基于安全外壳协议的数据处理系统,包括客户端51和业务服务器52,所述基于安全外壳协议的数据处理系统还包括:安全外壳协议代理装置53;其中,
所述业务服务器52,用于向安全外壳协议代理装置53发送安全外壳协议鉴权请求消息。
所述安全外壳协议代理装置53,用于接收所述安全外壳协议鉴权请求消息,并将强化鉴权请求消息和所述安全外壳协议鉴权请求消息发送给所述客户端51。
所述客户端51,用于接收所述强化鉴权请求消息和所述安全外壳协议鉴权请求消息;并向所述安全外壳协议代理装置53发送鉴权响应消息。其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;
所述安全外壳协议代理装置53,还用于接收所述安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器52。
所述业务服务器52,还用于接收所述安全外壳协议鉴权响应消息,并对所述安全外壳协议鉴权响应消息进行验证。
进一步的,如图7所示,所述基于安全外壳协议的数据处理系统,还包括超文本传输协议代理服务器54和Linux虚拟服务器55。
具体的,如图7所示,所述安全外壳协议代理装置53、超文本传输协议代理服务器54以及Linux虚拟服务器55均可以采用集群方式,因此整个基于安全外壳协议的数据处理系统可以分别包括多台安全外壳协议代理装置53、超文本传输协议代理服务器54以及Linux虚拟服务器55。
所述客户端51,还用于向所述超文本传输协议代理服务器54发送安全外壳协议连接请求。
所述超文本传输协议代理服务器54,用于将所述安全外壳协议连接请求发送给所述安全外壳协议代理装置53。
所述安全外壳协议代理装置53,还用于与所述客户端51建立安全外壳协议连接,并与业务服务器52进行安全外壳协议连接。
进一步的,如图7所示,所述业务服务器52,还用于向所述安全外壳协议代理装置53发送对所述安全外壳协议鉴权响应消息进行验证的验证成功消息。
所述安全外壳协议代理装置53,还用于将所述验证成功消息发送给所述客户端51,并接收安全外壳协议数据包。
进一步的,如图7所示,所述客户端51,还用于向所述Linux虚拟服务器55发送超文本传输协议数据包。
所述Linux虚拟服务器55,用于根据各超文本传输协议代理服务器54的负载,选取一个超文本传输协议代理服务器54,并将所述超文本传输协议数据包发送给所述超文本传输协议代理服务器54。
所述超文本传输协议代理服务器54,还用于解析所述超文本传输协议数据包,得到安全外壳协议数据包,并根据各安全外壳协议代理装置53的负载,选取一个所述安全外壳协议代理装置53,并将所述安全外壳协议数据包发送给所述安全外壳协议代理装置53。
进一步的,如图7所示,所述安全外壳协议代理装置53,还用于:
对所述安全外壳协议数据包进行解密,以获取得到已解密数据包;将所述已解密数据包进行旁路解析,获取得到待审计内容;将所述待审计内容进行旁路审计,以确定所述待审计内容是否满足预先设置的审计规则;将所述已解密数据包进行加密,以获取得到已加密数据包;将所述已加密数据包发送给所述业务服务器52。
本发明实施例提供的基于安全外壳协议的数据处理系统,安全外壳协议代理装置接收业务服务器发送的安全外壳协议鉴权请求消息,并向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。安全外壳协议代理装置能够对客户端进行鉴权,同时仅进行消息的转发,而不存储较为敏感的鉴权认证信息等。而现有技术中,堡垒机中存储有大量的较为敏感的鉴权认证信息,容易造成鉴权认证信息泄露。因此,本发明基于安全外壳协议的数据处理方式的安全性较高。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。