CN104243419A - 基于安全外壳协议的数据处理方法、装置及系统 - Google Patents
基于安全外壳协议的数据处理方法、装置及系统 Download PDFInfo
- Publication number
- CN104243419A CN104243419A CN201310242918.2A CN201310242918A CN104243419A CN 104243419 A CN104243419 A CN 104243419A CN 201310242918 A CN201310242918 A CN 201310242918A CN 104243419 A CN104243419 A CN 104243419A
- Authority
- CN
- China
- Prior art keywords
- shell protocol
- safety shell
- response message
- authentication response
- service server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种基于安全外壳协议的数据处理方法、装置及系统,涉及通信技术领域,解决了当前堡垒机中的鉴权认证信息易泄露,基于堡垒机的安全外壳协议鉴权审计方式安全性较低的问题。方法包括:接收业务服务器发送的安全外壳协议鉴权请求消息;向客户端发送强化鉴权请求消息,并发送所述安全外壳协议鉴权请求消息;接收所述客户端发送的鉴权响应消息;对强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。本发明适用于安全外壳协议数据传输时的鉴权与审计。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于安全外壳协议的数据处理方法、装置及系统。
背景技术
当前,在Linux系统下对业务服务器的管理是通过安全外壳协议(SecureShell,简称SSH)客户端来实现的,需要通过SSH客户端来登录业务服务器,从而对业务服务器进行运维管理。当前的SSH客户端有很多,例如openSSH软件、Secure CRT软件等。而当前为了保证业务服务器的安全,需要对SSH客户端所进行的运维操作进行审计。当前,较为常用的方式是在SSH客户端与业务服务器之间设置堡垒机,一般很多SSH客户端共同应用同一台堡垒机。通过堡垒机对SSH客户端的运维操作进行审计,从而保证业务服务器的安全。
当前,SSH客户端需要先与堡垒机进行通信连接,堡垒机通过账号密码等方式对SSH客户端进行鉴权认证,在鉴权认证成功后SSH客户端成功登陆堡垒机。然后,还需要通过堡垒机连接业务服务器,此时一般需要再次在SSH客户端处输入账号密码以再次进行鉴权认证。目前,为了便于SSH客户端与业务服务器通信,一般将第二次的鉴权认证信息,例如账号密码等,预先设置为自动化登陆脚本,并存储于堡垒机上。这样仅需要SSH客户端接收一次账号密码,堡垒机在通过对SSH客户端进行鉴权认证后,将通过该自动化登陆脚本来直接登陆业务服务器。
在实现本发明实施例的过程中,发明人发现现有技术中至少存在如下问题:
当前的堡垒机中存储有大量的较为敏感的鉴权认证信息,若堡垒机遭到恶意攻击,容易造成鉴权认证信息泄露,当前的基于堡垒机的安全外壳协议鉴权审计方式的安全性较低。
发明内容
本发明的实施例提供一种基于安全外壳协议的数据处理方法、装置及系统,能够解决现有技术中的存储在堡垒机中的鉴权认证信息容易泄露,基于堡垒机的安全外壳协议鉴权审计方式的安全性较低的问题。
为达到上述目的,本发明采用如下技术方案:
一种基于安全外壳协议的数据处理方法,包括:
接收业务服务器发送的安全外壳协议鉴权请求消息;
向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;
接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;
对所述强化鉴权响应消息进行验证;
若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。
一种安全外壳协议代理装置,包括:
接收单元,用于接收业务服务器发送的安全外壳协议鉴权请求消息;
发送单元,用于向客户端发送强化鉴权请求消息,并将所述接收单元接收的安全外壳协议鉴权请求消息发送给所述客户端;
所述接收单元,还用于接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;
鉴权验证单元,用于对所述接收单元接收的强化鉴权响应消息进行验证;
所述发送单元,还用于若所述鉴权验证单元验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。
一种基于安全外壳协议的数据处理系统,包括客户端和业务服务器,所述基于安全外壳协议的数据处理系统还包括:安全外壳协议代理装置;其中,
所述业务服务器,用于向安全外壳协议代理装置发送安全外壳协议鉴权请求消息;
所述安全外壳协议代理装置,用于接收所述安全外壳协议鉴权请求消息,并将强化鉴权请求消息和所述安全外壳协议鉴权请求消息发送给所述客户端;
所述客户端,用于接收所述强化鉴权请求消息和所述安全外壳协议鉴权请求消息;并向所述安全外壳协议代理装置发送鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;
所述安全外壳协议代理装置,还用于接收所述安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器;
所述业务服务器,还用于接收所述安全外壳协议鉴权响应消息,并对所述安全外壳协议鉴权响应消息进行验证。
本发明实施例提供的基于安全外壳协议的数据处理方法、装置及系统,安全外壳协议代理装置接收业务服务器发送的安全外壳协议鉴权请求消息,并向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。安全外壳协议代理装置能够对客户端进行鉴权,同时仅进行消息的转发,而不存储较为敏感的鉴权认证信息等。而现有技术中,堡垒机中存储有大量的较为敏感的鉴权认证信息,容易造成鉴权认证信息泄露。因此,本发明基于安全外壳协议的数据处理方式的安全性较高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于安全外壳协议的数据处理方法的流程图;
图2为本发明又一实施例提供的基于安全外壳协议的数据处理方法的流程图;
图3为本发明又一实施例中的安全外壳协议代理装置登陆业务服务器的流程图;
图4为本发明实施例提供的安全外壳协议代理装置的结构示意图一;
图5为本发明实施例提供的安全外壳协议代理装置的结构示意图二;
图6为本发明实施例提供的基于安全外壳协议的数据处理系统的示意图一;
图7为本发明实施例提供的基于安全外壳协议的数据处理系统的示意图二。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明作详细说明。
如图1所示,本发明实施例提供的基于安全外壳协议的数据处理方法,包括:
101、接收业务服务器发送的安全外壳协议鉴权请求消息。
所述业务服务器是客户端的运维管理对象,在客户端通过安全外壳协议代理装置和业务服务器建立了安全外壳协议连接后,由业务服务器发送安全外壳协议鉴权请求消息到安全外壳协议代理装置。所述安全外壳协议鉴权请求消息用于向客户端请求登陆业务服务器的账户以及密码等,但不仅局限于此。
102、向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端。
为了提高对业务服务器的安全保护,在所述安全外壳协议鉴权请求消息的基础上,增加强化鉴权请求消息,可以向客户端发送强化鉴权请求消息和所述安全外壳协议鉴权请求消息。所述强化鉴权请求消息用于要求客户端提供动态令牌信息、指纹信息、密钥证书信息等,但不仅局限于此。
103、接收所述客户端发送的鉴权响应消息。
其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息。所述安全外壳协议鉴权响应消息与所述安全外壳协议鉴权请求消息对应,可以是用于登陆业务服务器的账号以及密码等信息。所述强化鉴权响应消息与所述强化鉴权请求消息对应,可以是动态令牌信息、指纹信息、密钥证书信息等,但不仅局限于此。
104、对所述强化鉴权响应消息进行验证。
具体的,跟据所述强化鉴权响应消息的具体类型,进行验证。例如可以是指纹信息验证、动态令牌验证等。
105、若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。
具体的,在对安全外壳协议鉴权响应消息进行验证的基础上增加对强化鉴权响应消息的验证,从而进一步确认了所述客户端的身份,保证了所述业务服务器的安全。
值得说明的是,本发明实施例提供的基于安全外壳协议的数据处理方法的执行主体是一种安全外壳协议代理装置。
本发明实施例提供的基于安全外壳协议的数据处理方法,安全外壳协议代理装置接收业务服务器发送的安全外壳协议鉴权请求消息,并向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。安全外壳协议代理装置能够对客户端进行鉴权,同时仅进行消息的转发,而不存储较为敏感的鉴权认证信息等。而现有技术中,堡垒机中存储有大量的较为敏感的鉴权认证信息,容易造成鉴权认证信息泄露。因此,本发明基于安全外壳协议的数据处理方式的安全性较高。
进一步的,如图2所示,本发明又一实施例提供的基于安全外壳协议的数据处理方法,应用于具有客户端、业务服务器、安全外壳协议代理装置、超文本传输协议代理服务器以及Linux虚拟服务器的基于安全外壳协议的数据处理系统。其中,所述安全外壳协议代理装置、超文本传输协议代理服务器以及Linux虚拟服务器均可以采用集群方式。所述方法包括:
201、所述客户端通过超文本传输协议向Linux虚拟服务器集群发送安全外壳协议连接请求消息。
所述客户端用于对业务服务器进行运维管理,所述客户端可以是openSSH软件、Secure CRT软件等支持通过超文本传输协议来建立安全外壳协议连接的客户端软件。
202、所述Linux虚拟服务器集群中的Linux虚拟服务器根据超文本传输协议代理服务器集群中的各超文本传输协议代理服务器的负载,将所述安全外壳协议连接请求消息转发到其中一个超文本传输协议代理服务器。
为了获取到超文本传输协议代理服务器集群中最优的超文本传输协议代理服务器,一般需要获知到各超文本传输协议代理服务器的负载,可以选择获取到负载最低的超文本传输协议代理服务器。并将所述安全外壳协议连接请求消息转发到所述该负载最低的超文本传输协议代理服务器。Linux虚拟服务器每次接受到安全外壳协议连接请求消息均可采用此方式获取到优选的超文本传输协议代理服务器,从而保证了整个系统的负载均衡。
203、所述超文本传输协议代理服务器根据安全外壳协议代理装置集群中各安全外壳协议代理装置的负载,将所述安全外壳协议连接请求消息转发到其中一个安全外壳协议代理装置。
其中,所述超文本传输协议代理服务器可以通过传输控制协议连接所述安全外壳代理装置。
同样的,所述超文本传输协议代理服务器也可以获取到负载最低的安全外壳协议代理装置,并将所述安全外壳协议连接请求消息转发到该负载最低的安全外壳协议代理装置,从而更进一步的保证了整个系统的负载均衡。
204、所述安全外壳协议代理装置与客户端建立安全外壳协议连接,并与业务服务器进行安全外壳协议连接。
205、所述业务服务器向安全外壳协议代理装置发送安全外壳协议鉴权请求消息。
其中,所述安全外壳协议鉴权请求消息用于向客户端请求登陆业务服务器的账户以及密码等,但不仅局限于此。
206、所述安全外壳协议代理装置将强化鉴权请求消息和所述安全外壳协议鉴权请求消息发送给所述客户端。
为了提高对业务服务器的安全保护,还可以向客户端发送强化鉴权请求消息。所述强化鉴权请求消息用于要求客户端提供动态令牌信息、指纹信息、密钥证书信息等,但不仅局限于此。
207、所述客户端向所述安全外壳协议代理装置发送鉴权响应消息。
其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息。所述安全外壳协议鉴权响应消息与所述安全外壳协议鉴权请求消息对应,可以是用于登陆业务服务器的账号以及密码等信息。所述强化鉴权响应消息与所述强化鉴权请求消息对应,可以是动态令牌信息、指纹信息、密钥证书信息等,但不仅局限于此。
208、所述安全外壳协议代理装置对所述强化鉴权响应消息进行验证,并确定验证是否成功。若验证失败,执行步骤209;若验证成功,执行步骤210。
对所述强化鉴权响应消息进行验证可以是例如指纹信息验证、动态令牌验证等。
209、所述客户端与所述业务服务器不能进行数据交互。
若验证失败,则表示所述客户端可能是非法客户端,若允许该非法客户端运维操作所述业务服务器上的数据,则可能造成所述业务服务器瘫痪、数据丢失等不良后果。
210、所述安全外壳协议代理装置将所述安全外壳协议鉴权响应消息发送给所述业务服务器。
若验证成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器以进行后续的进一步鉴权验证。
211、所述业务服务器对所述安全外壳协议鉴权响应消息进行验证,并确定验证是否成功。若验证失败,返回执行步骤205。若验证成功,执行步骤212。
212、所述业务服务器向所述安全外壳协议代理装置发送对所述安全外壳协议鉴权响应消息进行验证的验证成功消息。
213、所述安全外壳协议代理装置将所述验证成功消息发送给所述客户端。
所述验证成功消息用于指示所述客户端可以对所述业务服务器进行运维管理。
上述的步骤201-213属于安全外壳协议代理装置登陆业务服务器的流程,具体的流程方式可以如图3所示。
214、所述客户端向所述Linux虚拟服务器发送超文本传输协议数据包。
所述超文本传输协议数据包中带有安全外壳协议数据内容,该安全外壳协议数据内容可以包含对业务服务器进行运维管理的数据。所述对业务服务器进行运维管理可以是更改、删除所述业务服务器的数据库中的数据,或者向所述业务服务器的数据库中增加数据等,但不仅局限于此。
215、所述Linux虚拟服务器根据各超文本传输协议代理服务器的负载,选取一个超文本传输协议代理服务器,并将所述超文本传输协议数据包发送给所述超文本传输协议代理服务器。
通过根据各超文本传输协议代理服务器的负载,选取一个优选的超文本传输协议代理服务器来处理所述超文本传输协议数据包,可以保证整个系统的负载均衡。
216、所述超文本传输协议代理服务器解析所述超文本传输协议数据包,得到安全外壳协议数据包,并根据各安全外壳协议代理装置的负载,选取一个所述安全外壳协议代理装置,并将所述安全外壳协议数据包发送给所述安全外壳协议代理装置。
所述超文本传输协议代理服务器将所述超文本传输协议数据包中的安全外壳协议数据内容获取到,并打包形成安全外壳协议数据包。同时通过根据各安全外壳协议代理装置的负载,选取一个优选的安全外壳协议代理装置来处理所述安全外壳协议数据包,可以进一步保证整个系统的负载均衡。
217、所述安全外壳协议代理装置对所述安全外壳协议数据包进行解密,以获取得到已解密数据包。
218、所述安全外壳协议代理装置将所述已解密数据包进行旁路解析,获取得到待审计内容。之后执行步骤219和步骤220。
219、所述安全外壳协议代理装置将所述已解密数据包进行加密,以获取得到已加密数据包,并将所述已加密数据包发送给所述业务服务器。
为了保证数据的安全性,若向所述业务服务器继续发送数据,则需要对已解密数据包进行加密。
220、所述安全外壳协议代理装置将所述待审计内容进行旁路审计,以确定所述待审计内容是否满足预先设置的审计规则。
本发明中采用旁路审计的方式,而避免采用串联审计方式,所述旁路审计的方式是将所述已解密数据包的数据进行复制,将复制后的数据进行旁路审计,而原来的数据继续进行加密,并发送给业务服务器。
所述审计规则可以存储于所述安全外壳协议代理装置中,所述审计规则中可以记载各种危险操作行为,例如对业务服务器的数据库中的关键数据的更改,向业务服务器的数据库植入恶意数据等。
221、若所述待审计内容不满足预先设置的审计规则,所述安全外壳协议代理装置向外发出告警指示信息。
具体的所述安全外壳代理装置可以将所述告警指示信息发送给预先设置的监控主机,从而由监控主机对告警指示信息进行显示输出。
本发明又一实施例提供的基于安全外壳协议的数据处理方法,安全外壳协议代理装置接收业务服务器发送的安全外壳协议鉴权请求消息,并向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。安全外壳协议代理装置能够对客户端进行鉴权,同时仅进行消息的转发,而不存储较为敏感的鉴权认证信息等。而现有技术中,堡垒机中存储有大量的较为敏感的鉴权认证信息,容易造成鉴权认证信息泄露。因此,本发明基于安全外壳协议的数据处理方式的安全性较高。
对应于上述图1和图2所述的基于安全外壳协议的数据处理方法,如图4所示,本发明实施例提供的安全外壳协议代理装置,包括:
接收单元41,用于接收业务服务器发送的安全外壳协议鉴权请求消息。
发送单元42,用于向客户端发送强化鉴权请求消息,并将所述接收单元41接收的安全外壳协议鉴权请求消息发送给所述客户端。
所述接收单元41,还用于接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息。
鉴权验证单元43,用于对所述接收单元41接收的强化鉴权响应消息进行验证。
所述发送单元42,还用于若所述鉴权验证单元43验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。
进一步的,如图5所示,所述安全外壳协议代理装置,还包括:
连接单元44,用于通过超文本传输协议代理服务器与客户端建立安全外壳协议连接,并与业务服务器进行安全外壳协议连接。
具体的,所述接收单元41,用于接收所述业务服务器返回的对所述安全外壳协议鉴权响应消息进行验证的验证成功消息。
所述发送单元42,用于将所述接收单元41接收的验证成功消息发送给所述客户端。
所述接收单元41,还用于接收安全外壳协议数据包。
具体的,如图5所示,所述接收单元41,用于接收所述超文本传输协议代理服务器解析超文本传输协议数据包而得到的安全外壳协议数据包;其中,所述超文本传输协议数据包由所述客户端发送给Linux虚拟服务器,并经过所述Linux虚拟服务器根据各超文本传输协议代理服务器的负载分配给所述超文本传输协议代理服务器。
进一步的,如图5所示,所述安全外壳协议代理装置,还包括:
解密单元45,用于对所述接收单元41接收的安全外壳协议数据包进行解密,以获取得到已解密数据包。
解析单元46,用于将所述解密单元45获取的已解密数据包进行旁路解析,获取得到待审计内容。
审计单元47,用于将所述解析单元46获取的所述待审计内容进行旁路审计,以确定所述待审计内容是否满足预先设置的审计规则。
加密单元48,用于将所述解密单元45获取的已解密数据包进行加密,以获取得到已加密数据包。
所述发送单元42,用于将所述加密单元48获取的已加密数据包发送给所述业务服务器。
本发明实施例提供的安全外壳协议代理装置,安全外壳协议代理装置接收业务服务器发送的安全外壳协议鉴权请求消息,并向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。安全外壳协议代理装置能够对客户端进行鉴权,同时仅进行消息的转发,而不存储较为敏感的鉴权认证信息等。而现有技术中,堡垒机中存储有大量的较为敏感的鉴权认证信息,容易造成鉴权认证信息泄露。因此,本发明基于安全外壳协议的数据处理方式的安全性较高。
对应上述的图1和图2所述的基于安全外壳协议的数据处理方法,如图6所示,本发明实施例提供的基于安全外壳协议的数据处理系统,包括客户端51和业务服务器52,所述基于安全外壳协议的数据处理系统还包括:安全外壳协议代理装置53;其中,
所述业务服务器52,用于向安全外壳协议代理装置53发送安全外壳协议鉴权请求消息。
所述安全外壳协议代理装置53,用于接收所述安全外壳协议鉴权请求消息,并将强化鉴权请求消息和所述安全外壳协议鉴权请求消息发送给所述客户端51。
所述客户端51,用于接收所述强化鉴权请求消息和所述安全外壳协议鉴权请求消息;并向所述安全外壳协议代理装置53发送鉴权响应消息。其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;
所述安全外壳协议代理装置53,还用于接收所述安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器52。
所述业务服务器52,还用于接收所述安全外壳协议鉴权响应消息,并对所述安全外壳协议鉴权响应消息进行验证。
进一步的,如图7所示,所述基于安全外壳协议的数据处理系统,还包括超文本传输协议代理服务器54和Linux虚拟服务器55。
具体的,如图7所示,所述安全外壳协议代理装置53、超文本传输协议代理服务器54以及Linux虚拟服务器55均可以采用集群方式,因此整个基于安全外壳协议的数据处理系统可以分别包括多台安全外壳协议代理装置53、超文本传输协议代理服务器54以及Linux虚拟服务器55。
所述客户端51,还用于向所述超文本传输协议代理服务器54发送安全外壳协议连接请求。
所述超文本传输协议代理服务器54,用于将所述安全外壳协议连接请求发送给所述安全外壳协议代理装置53。
所述安全外壳协议代理装置53,还用于与所述客户端51建立安全外壳协议连接,并与业务服务器52进行安全外壳协议连接。
进一步的,如图7所示,所述业务服务器52,还用于向所述安全外壳协议代理装置53发送对所述安全外壳协议鉴权响应消息进行验证的验证成功消息。
所述安全外壳协议代理装置53,还用于将所述验证成功消息发送给所述客户端51,并接收安全外壳协议数据包。
进一步的,如图7所示,所述客户端51,还用于向所述Linux虚拟服务器55发送超文本传输协议数据包。
所述Linux虚拟服务器55,用于根据各超文本传输协议代理服务器54的负载,选取一个超文本传输协议代理服务器54,并将所述超文本传输协议数据包发送给所述超文本传输协议代理服务器54。
所述超文本传输协议代理服务器54,还用于解析所述超文本传输协议数据包,得到安全外壳协议数据包,并根据各安全外壳协议代理装置53的负载,选取一个所述安全外壳协议代理装置53,并将所述安全外壳协议数据包发送给所述安全外壳协议代理装置53。
进一步的,如图7所示,所述安全外壳协议代理装置53,还用于:
对所述安全外壳协议数据包进行解密,以获取得到已解密数据包;将所述已解密数据包进行旁路解析,获取得到待审计内容;将所述待审计内容进行旁路审计,以确定所述待审计内容是否满足预先设置的审计规则;将所述已解密数据包进行加密,以获取得到已加密数据包;将所述已加密数据包发送给所述业务服务器52。
本发明实施例提供的基于安全外壳协议的数据处理系统,安全外壳协议代理装置接收业务服务器发送的安全外壳协议鉴权请求消息,并向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。安全外壳协议代理装置能够对客户端进行鉴权,同时仅进行消息的转发,而不存储较为敏感的鉴权认证信息等。而现有技术中,堡垒机中存储有大量的较为敏感的鉴权认证信息,容易造成鉴权认证信息泄露。因此,本发明基于安全外壳协议的数据处理方式的安全性较高。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (15)
1.一种基于安全外壳协议的数据处理方法,其特征在于,包括:
接收业务服务器发送的安全外壳协议鉴权请求消息;
向客户端发送强化鉴权请求消息,并将所述安全外壳协议鉴权请求消息发送给所述客户端;
接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;
对所述强化鉴权响应消息进行验证;
若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。
2.根据权利要求1所述的基于安全外壳协议的数据处理方法,其特征在于,在接收业务服务器发送的安全外壳协议鉴权请求消息之前,包括:
通过超文本传输协议代理服务器与所述客户端建立安全外壳协议连接,并与所述业务服务器进行安全外壳协议连接。
3.根据权利要求2所述的基于安全外壳协议的数据处理方法,其特征在于,在将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证之后,包括:
接收所述业务服务器返回的对所述安全外壳协议鉴权响应消息进行验证的验证成功消息;
将所述验证成功消息发送给所述客户端;
接收安全外壳协议数据包。
4.根据权利要求3所述的基于安全外壳协议的数据处理方法,其特征在于,所述接收安全外壳协议数据包,包括:
接收所述超文本传输协议代理服务器解析超文本传输协议数据包而得到的安全外壳协议数据包;其中,所述超文本传输协议数据包由所述客户端发送给Linux虚拟服务器,并经过所述Linux虚拟服务器根据各超文本传输协议代理服务器的负载分配给所述超文本传输协议代理服务器。
5.根据权利要求3所述的基于安全外壳协议的数据处理方法,其特征在于,在所述接收安全外壳协议数据包之后,包括:
对所述安全外壳协议数据包进行解密,以获取得到已解密数据包;
将所述已解密数据包进行旁路解析,获取得到待审计内容;
将所述待审计内容进行旁路审计,以确定所述待审计内容是否满足预先设置的审计规则;
将所述已解密数据包进行加密,以获取得到已加密数据包;
将所述已加密数据包发送给所述业务服务器。
6.一种安全外壳协议代理装置,其特征在于,包括:
接收单元,用于接收业务服务器发送的安全外壳协议鉴权请求消息;
发送单元,用于向客户端发送强化鉴权请求消息,并将所述接收单元接收的安全外壳协议鉴权请求消息发送给所述客户端;
所述接收单元,还用于接收所述客户端发送的鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;
鉴权验证单元,用于对所述接收单元接收的强化鉴权响应消息进行验证;
所述发送单元,还用于若所述鉴权验证单元验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器,以使得所述业务服务器对所述安全外壳协议鉴权响应消息进行验证。
7.根据权利要求6所述的安全外壳协议代理装置,其特征在于,还包括:
连接单元,用于通过超文本传输协议代理服务器与客户端建立安全外壳协议连接,并与业务服务器进行安全外壳协议连接。
8.根据权利要求7所述的安全外壳协议代理装置,其特征在于,所述接收单元,用于:
接收所述业务服务器返回的对所述安全外壳协议鉴权响应消息进行验证的验证成功消息;
所述发送单元,用于将所述接收单元接收的验证成功消息发送给所述客户端;
所述接收单元,还用于接收安全外壳协议数据包。
9.根据权利要求8所述的安全外壳协议代理装置,其特征在于,所述接收单元,用于:
接收所述超文本传输协议代理服务器解析超文本传输协议数据包而得到的安全外壳协议数据包;其中,所述超文本传输协议数据包由所述客户端发送给Linux虚拟服务器,并经过所述Linux虚拟服务器根据各超文本传输协议代理服务器的负载分配给所述超文本传输协议代理服务器。
10.根据权利要求8所述的安全外壳协议代理装置,其特征在于,还包括:
解密单元,用于对所述接收单元接收的安全外壳协议数据包进行解密,以获取得到已解密数据包;
解析单元,用于将所述解密单元获取的已解密数据包进行旁路解析,获取得到待审计内容;
审计单元,用于将所述解析单元获取的所述待审计内容进行旁路审计,以确定所述待审计内容是否满足预先设置的审计规则;
加密单元,用于将所述解密单元获取的已解密数据包进行加密,以获取得到已加密数据包;
所述发送单元,用于将所述加密单元获取的已加密数据包发送给所述业务服务器。
11.一种基于安全外壳协议的数据处理系统,包括客户端和业务服务器,其特征在于,所述基于安全外壳协议的数据处理系统还包括:安全外壳协议代理装置;其中,
所述业务服务器,用于向安全外壳协议代理装置发送安全外壳协议鉴权请求消息;
所述安全外壳协议代理装置,用于接收所述安全外壳协议鉴权请求消息,并将强化鉴权请求消息和所述安全外壳协议鉴权请求消息发送给所述客户端;
所述客户端,用于接收所述强化鉴权请求消息和所述安全外壳协议鉴权请求消息;并向所述安全外壳协议代理装置发送鉴权响应消息;其中,所述鉴权响应消息包括安全外壳协议鉴权响应消息和强化鉴权响应消息;
所述安全外壳协议代理装置,还用于接收所述安全外壳协议鉴权响应消息和强化鉴权响应消息;对所述强化鉴权响应消息进行验证;若验证所述强化鉴权响应消息成功,将所述安全外壳协议鉴权响应消息发送给所述业务服务器;
所述业务服务器,还用于接收所述安全外壳协议鉴权响应消息,并对所述安全外壳协议鉴权响应消息进行验证。
12.根据权利要求11所述的基于安全外壳协议的数据处理系统,其特征在于,所述系统还包括超文本传输协议代理服务器;
所述客户端,还用于向所述超文本传输协议代理服务器发送安全外壳协议连接请求;
所述超文本传输协议代理服务器,用于将所述安全外壳协议连接请求发送给所述安全外壳协议代理装置;
所述安全外壳协议代理装置,还用于与所述客户端建立安全外壳协议连接,并与业务服务器进行安全外壳协议连接。
13.根据权利要求12所述的基于安全外壳协议的数据处理系统,其特征在于,
所述业务服务器,还用于向所述安全外壳协议代理装置发送对所述安全外壳协议鉴权响应消息进行验证的验证成功消息;
所述安全外壳协议代理装置,还用于将所述验证成功消息发送给所述客户端,并接收安全外壳协议数据包。
14.根据权利要求13所述的基于安全外壳协议的数据处理系统,其特征在于,所述系统还包括Linux虚拟服务器;
所述客户端,还用于向所述Linux虚拟服务器发送超文本传输协议数据包;
所述Linux虚拟服务器,用于根据各超文本传输协议代理服务器的负载,选取一个超文本传输协议代理服务器,并将所述超文本传输协议数据包发送给所述超文本传输协议代理服务器;
所述超文本传输协议代理服务器,还用于解析所述超文本传输协议数据包,得到安全外壳协议数据包,并根据各安全外壳协议代理装置的负载,选取一个所述安全外壳协议代理装置,并将所述安全外壳协议数据包发送给所述安全外壳协议代理装置。
15.根据权利要求13所述的基于安全外壳协议的数据处理系统,其特征在于,所述安全外壳协议代理装置,还用于:
对所述安全外壳协议数据包进行解密,以获取得到已解密数据包;
将所述已解密数据包进行旁路解析,获取得到待审计内容;
将所述待审计内容进行旁路审计,以确定所述待审计内容是否满足预先设置的审计规则;
将所述已解密数据包进行加密,以获取得到已加密数据包;
将所述已加密数据包发送给所述业务服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310242918.2A CN104243419B (zh) | 2013-06-18 | 2013-06-18 | 基于安全外壳协议的数据处理方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310242918.2A CN104243419B (zh) | 2013-06-18 | 2013-06-18 | 基于安全外壳协议的数据处理方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104243419A true CN104243419A (zh) | 2014-12-24 |
| CN104243419B CN104243419B (zh) | 2018-04-27 |
Family
ID=52230781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310242918.2A Active CN104243419B (zh) | 2013-06-18 | 2013-06-18 | 基于安全外壳协议的数据处理方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104243419B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753954A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种利用堡垒机保障网络安全的方法 |
| CN106789029A (zh) * | 2017-01-04 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 |
| CN106888084A (zh) * | 2017-01-04 | 2017-06-23 | 浙江神州量子网络科技有限公司 | 一种量子堡垒机系统及其认证方法 |
| CN106982215A (zh) * | 2017-03-31 | 2017-07-25 | 北京奇艺世纪科技有限公司 | 一种密钥管理方法及装置 |
| CN107135235A (zh) * | 2017-07-05 | 2017-09-05 | 湖北鑫英泰系统技术股份有限公司 | 一种多级跳转后的ssh连接源追踪方法及装置 |
| CN108243187A (zh) * | 2017-12-29 | 2018-07-03 | 亿阳安全技术有限公司 | 一种基于ssh隧道的自动加密方法、系统及服务模块 |
| CN108600156A (zh) * | 2018-03-07 | 2018-09-28 | 华为技术有限公司 | 一种服务器及安全认证方法 |
| CN111901361A (zh) * | 2020-08-11 | 2020-11-06 | 深圳墨世科技有限公司 | 一种堡垒机服务方法、装置、计算机设备及存储介质 |
| CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及系统、相关设备和装置 |
| CN113726536A (zh) * | 2017-12-08 | 2021-11-30 | 深圳迈瑞生物医疗电子股份有限公司 | 数据处理方法、装置及远程医疗会诊系统 |
| CN115085966A (zh) * | 2022-04-28 | 2022-09-20 | 麒麟软件有限公司 | 一种建立openpts远程可信连接的方法 |
| US11483348B2 (en) * | 2020-03-10 | 2022-10-25 | Dell Products L.P. | Restrictive user privileges |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282252A (zh) * | 2007-04-06 | 2008-10-08 | 盛大信息技术(上海)有限公司 | 基于网络的远程服务器的口令管理和登录方法 |
| US20100235635A1 (en) * | 2009-03-10 | 2010-09-16 | At&T Intellectual Property I, L.P. | Methods, Systems And Computer Program Products For Authenticating Computer Processing Devices And Transferring Both Encrypted And Unencrypted Data Therebetween |
| CN102333090A (zh) * | 2011-09-28 | 2012-01-25 | 辽宁国兴科技有限公司 | 一种内控堡垒主机及安全访问内网资源的方法 |
| CN102843683A (zh) * | 2012-08-21 | 2012-12-26 | 北京星网锐捷网络技术有限公司 | 一种wlan的接入方法、装置及系统 |
-
2013
- 2013-06-18 CN CN201310242918.2A patent/CN104243419B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101282252A (zh) * | 2007-04-06 | 2008-10-08 | 盛大信息技术(上海)有限公司 | 基于网络的远程服务器的口令管理和登录方法 |
| US20100235635A1 (en) * | 2009-03-10 | 2010-09-16 | At&T Intellectual Property I, L.P. | Methods, Systems And Computer Program Products For Authenticating Computer Processing Devices And Transferring Both Encrypted And Unencrypted Data Therebetween |
| CN102333090A (zh) * | 2011-09-28 | 2012-01-25 | 辽宁国兴科技有限公司 | 一种内控堡垒主机及安全访问内网资源的方法 |
| CN102843683A (zh) * | 2012-08-21 | 2012-12-26 | 北京星网锐捷网络技术有限公司 | 一种wlan的接入方法、装置及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 李延松等: "一种改进SSH 协议主机认证方法", 《电子科技》 * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753954A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种利用堡垒机保障网络安全的方法 |
| CN106789029B (zh) * | 2017-01-04 | 2019-11-22 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 |
| CN106789029A (zh) * | 2017-01-04 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 |
| CN106888084A (zh) * | 2017-01-04 | 2017-06-23 | 浙江神州量子网络科技有限公司 | 一种量子堡垒机系统及其认证方法 |
| CN106982215A (zh) * | 2017-03-31 | 2017-07-25 | 北京奇艺世纪科技有限公司 | 一种密钥管理方法及装置 |
| CN106982215B (zh) * | 2017-03-31 | 2019-12-13 | 北京奇艺世纪科技有限公司 | 一种密钥管理方法及装置 |
| CN107135235A (zh) * | 2017-07-05 | 2017-09-05 | 湖北鑫英泰系统技术股份有限公司 | 一种多级跳转后的ssh连接源追踪方法及装置 |
| CN107135235B (zh) * | 2017-07-05 | 2019-11-05 | 湖北鑫英泰系统技术股份有限公司 | 一种多级跳转后的ssh连接源追踪方法及装置 |
| CN113726536A (zh) * | 2017-12-08 | 2021-11-30 | 深圳迈瑞生物医疗电子股份有限公司 | 数据处理方法、装置及远程医疗会诊系统 |
| CN113726536B (zh) * | 2017-12-08 | 2024-03-29 | 深圳迈瑞生物医疗电子股份有限公司 | 数据处理方法、装置及远程医疗会诊系统 |
| CN108243187A (zh) * | 2017-12-29 | 2018-07-03 | 亿阳安全技术有限公司 | 一种基于ssh隧道的自动加密方法、系统及服务模块 |
| CN108600156A (zh) * | 2018-03-07 | 2018-09-28 | 华为技术有限公司 | 一种服务器及安全认证方法 |
| CN108600156B (zh) * | 2018-03-07 | 2021-05-07 | 华为技术有限公司 | 一种服务器及安全认证方法 |
| US11483348B2 (en) * | 2020-03-10 | 2022-10-25 | Dell Products L.P. | Restrictive user privileges |
| CN111901361A (zh) * | 2020-08-11 | 2020-11-06 | 深圳墨世科技有限公司 | 一种堡垒机服务方法、装置、计算机设备及存储介质 |
| CN113346990A (zh) * | 2021-05-11 | 2021-09-03 | 科大讯飞股份有限公司 | 安全通信方法及系统、相关设备和装置 |
| CN113346990B (zh) * | 2021-05-11 | 2022-12-23 | 科大讯飞股份有限公司 | 安全通信方法及系统、相关设备和装置 |
| CN115085966A (zh) * | 2022-04-28 | 2022-09-20 | 麒麟软件有限公司 | 一种建立openpts远程可信连接的方法 |
| CN115085966B (zh) * | 2022-04-28 | 2024-04-05 | 麒麟软件有限公司 | 一种建立openpts远程可信连接的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104243419B (zh) | 2018-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104243419A (zh) | 基于安全外壳协议的数据处理方法、装置及系统 | |
| EP3424178B1 (en) | Deterministic reproduction of client/server computer state or output sent to one or more client computers | |
| CN103795692B (zh) | 开放授权方法、系统与认证授权服务器 | |
| CN106790183A (zh) | 登录凭证校验方法、装置 | |
| CN103095847B (zh) | 一种云存储系统安全保障方法及其系统 | |
| US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
| US11374767B2 (en) | Key-based authentication for backup service | |
| CN104113552A (zh) | 一种平台授权方法、平台服务端及应用客户端和系统 | |
| CN107483495B (zh) | 一种大数据集群主机管理方法、管理系统及服务端 | |
| US10257171B2 (en) | Server public key pinning by URL | |
| CN114900338A (zh) | 一种加密解密方法、装置、设备和介质 | |
| CN114244508A (zh) | 数据加密方法、装置、设备及存储介质 | |
| CN110875899A (zh) | 数据处理方法、系统以及网络系统 | |
| CN111865869B (zh) | 基于随机映射的注册、认证方法及装置、介质及电子设备 | |
| CN104104650A (zh) | 数据文件访问方法及终端设备 | |
| CN108650209B (zh) | 一种单点登录的方法、系统、装置及认证方法 | |
| CN111858094B (zh) | 一种数据复制粘贴方法、系统及电子设备 | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| CN108989302B (zh) | 一种基于密钥的opc代理连接系统和连接方法 | |
| CN103559430A (zh) | 基于安卓系统的应用账号管理方法和装置 | |
| CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
| US20170163610A1 (en) | Methods, apparatuses, and systems for acquiring local information | |
| CN107241341B (zh) | 访问控制方法及装置 | |
| CN109254872A (zh) | 一种针对教育大数据的安全访问系统 | |
| CN112260997B (zh) | 数据访问方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190729 Address after: 518057 Nanshan District science and technology zone, Guangdong, Zhejiang Province, science and technology in the Tencent Building on the 1st floor of the 35 layer Co-patentee after: Tencent cloud computing (Beijing) limited liability company Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: Shenzhen Futian District City, Guangdong province 518000 Zhenxing Road, SEG Science Park 2 East Room 403 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |
|
| TR01 | Transfer of patent right |