CN104270334A - 一种ssh网络安全访问协议监测方法 - Google Patents

一种ssh网络安全访问协议监测方法 Download PDF

Info

Publication number
CN104270334A
CN104270334A CN201410264235.1A CN201410264235A CN104270334A CN 104270334 A CN104270334 A CN 104270334A CN 201410264235 A CN201410264235 A CN 201410264235A CN 104270334 A CN104270334 A CN 104270334A
Authority
CN
China
Prior art keywords
ssh
session
data
client
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410264235.1A
Other languages
English (en)
Inventor
吴克河
崔文超
安思成
张帆
高昆仑
李凌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
North China Electric Power University
Original Assignee
State Grid Corp of China SGCC
China Electric Power Research Institute Co Ltd CEPRI
North China Electric Power University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, China Electric Power Research Institute Co Ltd CEPRI, North China Electric Power University filed Critical State Grid Corp of China SGCC
Priority to CN201410264235.1A priority Critical patent/CN104270334A/zh
Publication of CN104270334A publication Critical patent/CN104270334A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0677Localisation of faults
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种SSH网络安全访问协议监测方法,每当客户端或者服务器端有数据传输到SSH运维会话代理模块时,SSH运维会话代理模块会对截获数据包进行记录、分析,然后转发到通信的另一端,当客户端或运维设备服务器任意一方或两方会话断开,SSH会话代理模块自动切断另一端连接,释放相应的资源;数据处理单元一方面转发数据包,另一方面将数据写入共享缓区,以便记录数据完整记录运维人员的操作过程,包括执行的有效命令以及相应的结果。本发明实现了对SSH会话数据的记录、转发、监控,从而对运维人员实行监测,为运维安全提高保证,解决了账号共享问题,对于运维事故可以定位到个人,由于UNIX/linux操作系统占据了服务器操作系统的主要市场,本方法具有广泛的应用范围。

Description

一种SSH网络安全访问协议监测方法
技术领域
本发明涉及网络安全领域,具体涉及一种安全访问监测方法。
背景技术
当今的时代是一个信息化社会,信息系统已成为各企事业单位业务运营的基础,由于信息系统运维人员掌握着信息系统的最高权限,一旦运维操作出现安全问题将会给企业单位带来巨大的损失。因此,加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。
传统的网络服务程序,如rsh、FTP、POP和Telnet其本质上都是不安全的,因为它们在网络上用明文传送数据、用户帐号和用户口令,很容易受到中间人(man-in-the-middle)攻击方式的攻击。即存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据,然后再冒充用户把数据传给真正的服务器。
SSH是目前较可靠、专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题,其可对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗。所以SSH远程连接是UNIX/linux服务器远程运维最常用的客户端。因此,设计一种SSH会话数据的记录、转发、回放、监控的实现方法是很有必要的。
发明内容
发明目的:本发明的目的在于针对现有技术的不足,提供一可提高运维安全管控能力的SSH网络安全访问协议监测方法。
技术方案:本发明提供了一种SSH网络安全访问协议监测方法,对标准SSH会话的审计由SSH运维会话代理模块实现,包括以下步骤: 
(1)SSH运维会话代理模块初始化配置参数,建立监听端口,等待客户端的连接;
(2)客户端连接SSH协议服务单元,同时,SSH运维会话代理模块调用连接控制与认证模块验证客户端身份;
(3)通过身份验证之后,连接控制与认证模块返回实际运维设备的登录名和密码,由SSH协议客户端单元发起对实际运维设备的SSH会话请求,两个会话建立过程遵循标准的SSH协议协商过程;
(4)当两端会话建立成功后,客户端对运维设备进行操作,每当客户端或者服务器端有数据传输到SSH运维会话代理模块时,SSH运维会话代理模块会对截获数据包进行记录、分析,然后转发到通信的另一端,当客户端或运维设备服务器任意一方或两方会话断开,SSH会话代理模块自动切断另一端连接,释放相应的资源。
对SSH运维会话数据的记录和解析由数据处理单元实现,包括以下步骤:
(1)数据处理单元一方面转发数据包,另一方面将数据写入共享缓区,以便记录数据完整记录运维人员的操作过程,包括执行的有效命令以及相应的结果;
(2)如果当前会话正接受管理人员的监控,SSH运维会话代理模块会接收到SSH监控模块发来的消息,这时共享数据区会将相应会话的数据包发送给SSH 监控模块,并由该模块将数据发往客户端监控插件进行展示,从而实现SSH会话的实时监控功能;
(3)SSH运维会话代理模块接受管理模块发送的消息,在任意时刻,监控人员皆可主动切断运维人员的SSH运维会话,有效防止非法操作的发生。
有益效果:本发明提供了一种SSH会话数据的记录、转发、监控的方法,从而对运维人员实行监测,为运维安全提高保证,解决了账号共享问题,对于运维事故可以定位到个人,由于UNIX/linux操作系统占据了服务器操作系统的主要市场,本方法具有广泛的应用范围。
附图说明
图1为本发明方法的现场设备网络拓扑结构示意图;
图2为代理程序工作流程图;
图3为SSH运维会话代理转发解析流程图;
图4为数据处理单元解析数据的算法流程图。
具体实施方式
下面对本发明技术方案进行详细说明,但是本发明的保护范围不局限于所述实施例。
实施例:提出了一种SSH网络安全访问协议监测方法实现SSH会话数据的记录、转发、回放、监控等功能。
图1所示是本实施例的现场设备网络拓扑结构示意图。运维人员即运维客户端通过SSH会话代理服务器访问远程设备,且代理服务器将客户的请求转发给后台服务器(SSH服务器和SFTP服务器),并将后台服务器发回的结果转发给客户。
图2为本实施例代理程序工作流程图。首先SSH运维会话代理模块初始化配置参数,建立监听端口,等待客户端的连接。客户端连接SSH协议服务单元,此过程中,代理模块调用连接控制与认证模块验证客户端身份。通过身份验证之后,认证模块会返回实际运维设备的登录名和密码,由SSH协议客户端单元发起对实际运维设备的SSH会话请求,两个会话建立过程遵循标准的SSH协议协商过程。当两端会话建立成功后,客户端就可以对运维设备进行操作了。每当客户端或者服务器端有数据传输到代理模块时,代理模块会对截获数据包进行记录、分析,然后转发到通信的另一端。当客户端或运维设备服务器任意一方或两方会话断开,SSH会话代理模块会自动切断另一方连接,释放相应的资源。
图3为本实施例SSH运维会话代理转发解析流程图。线程开始,首先添加新的会话,若失败则退出。若成功则获取客户端用户名和密码并认证,认证失败则退出;若认证成功,则开始连接远程服务器。通过使用远程服务器的用户名密码登上目标设备远程服务器,启动数据处理单元,直到会话终止或连接断开或超时。数据处理单元实现SSH运维会话数据的记录和解析,一方面转发数据包,另一方面将数据写入共享缓区,以便把数据记录下来实现完整记录运维人员的操作过程,包括选择执行的有效命令以及相应的结果等,如果工作模式不是免检,那么解析数据,并将数据写到缓冲区,循环操作,直到会话终止。终止会话后要执行清理工作,释放内存。
如果当前会话正接受管理人员的监控,代理模块会接收到SSH 监控模块发来的消息,这时共享数据区会将相应会话的数据包发送给监控模块,并由该模块将数据发往客户端监控插件进行展示,从而实现SSH会话的实时监控功能。SSH运维会话代理模块能够接受管理模块发送的消息,在任意时刻,监控人员都可以主动切断运维人员的SSH运维会话,有效防止非法操作的发生。
图4为上述步骤中数据处理单元解析数据的算法流程图。该算法首先要初始化一个有效的待解匹配的终端控制码表,然后对缓冲区的字符逐个进行解析。读取输入缓冲区的一个字节后与控制码表进行比对,若不是控制字符,则将它存入到输出缓冲区。若读到的是一个控制字符,则判断控制字符是否是结束符。如果不是结束符,继续读输入缓冲区的字节;如果是结束符,按照相应的终端控制码的功能对输出缓冲区进行处理。当输入缓冲区处理完成之后,根据当前输出缓冲区以及光标的位置输出有效的命令内容。

Claims (1)

1.一种SSH网络安全访问协议监测方法,其特征在于:对标准SSH会话的审计由SSH运维会话代理模块实现,包括以下步骤: 
(1)SSH运维会话代理模块初始化配置参数,建立监听端口,等待客户端的连接;
(2)客户端连接SSH协议服务单元,同时,SSH运维会话代理模块调用连接控制与认证模块验证客户端身份;
(3)通过身份验证之后,连接控制与认证模块返回实际运维设备的登录名和密码,由SSH协议客户端单元发起对实际运维设备的SSH会话请求,两个会话建立过程遵循标准的SSH协议协商过程;
(4)当两端会话建立成功后,客户端对运维设备进行操作,每当客户端或者服务器端有数据传输到SSH运维会话代理模块时,SSH运维会话代理模块会对截获数据包进行记录、分析,然后转发到通信的另一端,当客户端或运维设备服务器任意一方或两方会话断开,SSH会话代理模块自动切断另一端连接,释放相应的资源;
对SSH运维会话数据的记录和解析由数据处理单元实现,包括以下步骤:
(1)数据处理单元一方面转发数据包,另一方面将数据写入共享缓区,以便记录数据完整记录运维人员的操作过程,包括执行的有效命令以及相应的结果;
(2)如果当前会话正接受管理人员的监控,SSH运维会话代理模块会接收到SSH监控模块发来的消息,这时共享数据区会将相应会话的数据包发送给SSH 监控模块,并由该模块将数据发往客户端监控插件进行展示,从而实现SSH会话的实时监控功能;
(3)SSH运维会话代理模块接受管理模块发送的消息,在任意时刻,监控人员皆可主动切断运维人员的SSH运维会话,有效防止非法操作的发生。
CN201410264235.1A 2014-06-13 2014-06-13 一种ssh网络安全访问协议监测方法 Pending CN104270334A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410264235.1A CN104270334A (zh) 2014-06-13 2014-06-13 一种ssh网络安全访问协议监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410264235.1A CN104270334A (zh) 2014-06-13 2014-06-13 一种ssh网络安全访问协议监测方法

Publications (1)

Publication Number Publication Date
CN104270334A true CN104270334A (zh) 2015-01-07

Family

ID=52161824

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410264235.1A Pending CN104270334A (zh) 2014-06-13 2014-06-13 一种ssh网络安全访问协议监测方法

Country Status (1)

Country Link
CN (1) CN104270334A (zh)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105119745A (zh) * 2015-08-19 2015-12-02 浪潮(北京)电子信息产业有限公司 一种用于提高db2 dpf可用性的方法及系统
CN106941476A (zh) * 2016-01-05 2017-07-11 中国科学院声学研究所 一种sftp数据采集及审计的方法及系统
CN107135235A (zh) * 2017-07-05 2017-09-05 湖北鑫英泰系统技术股份有限公司 一种多级跳转后的ssh连接源追踪方法及装置
CN108173838A (zh) * 2017-12-26 2018-06-15 福建星瑞格软件有限公司 一种对网络设备访问的控制审计方法
CN108243187A (zh) * 2017-12-29 2018-07-03 亿阳安全技术有限公司 一种基于ssh隧道的自动加密方法、系统及服务模块
CN108270822A (zh) * 2016-12-30 2018-07-10 中移(苏州)软件技术有限公司 一种基于远程桌面协议rdp的控制反转方法和装置
CN108449343A (zh) * 2018-03-21 2018-08-24 深圳天源迪科信息技术股份有限公司 Ssh协议文本数据采集方法、采集器及计算机设备
CN109101811A (zh) * 2018-08-10 2018-12-28 成都安恒信息技术有限公司 一种基于SSH隧道的可控Oracle会话的运维与审计方法
CN110602054A (zh) * 2019-08-20 2019-12-20 广州海颐信息安全技术有限公司 基于代理的特权凭证认证保护方法及装置
CN110719255A (zh) * 2019-09-04 2020-01-21 西安交大捷普网络科技有限公司 基于ssh协议的协同运维方法与系统
CN111526150A (zh) * 2020-04-28 2020-08-11 吴飞 关于单集群或多集群云电脑远程运维端口零信任自动化规则放行平台及放行方法
CN112039849A (zh) * 2020-08-06 2020-12-04 成都安恒信息技术有限公司 一种基于ssh的双网安全同步系统及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102215133A (zh) * 2011-06-21 2011-10-12 德讯科技股份有限公司 基于rdp远程协议跳板机审计数据定位回放系统及方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102215133A (zh) * 2011-06-21 2011-10-12 德讯科技股份有限公司 基于rdp远程协议跳板机审计数据定位回放系统及方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
崔文超 等: ""SSH协议审计系统的设计与实现 "", 《电子技术与软件工程》 *

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105119745A (zh) * 2015-08-19 2015-12-02 浪潮(北京)电子信息产业有限公司 一种用于提高db2 dpf可用性的方法及系统
CN106941476B (zh) * 2016-01-05 2019-10-22 中国科学院声学研究所 一种sftp数据采集及审计的方法及系统
CN106941476A (zh) * 2016-01-05 2017-07-11 中国科学院声学研究所 一种sftp数据采集及审计的方法及系统
CN108270822A (zh) * 2016-12-30 2018-07-10 中移(苏州)软件技术有限公司 一种基于远程桌面协议rdp的控制反转方法和装置
CN107135235A (zh) * 2017-07-05 2017-09-05 湖北鑫英泰系统技术股份有限公司 一种多级跳转后的ssh连接源追踪方法及装置
CN107135235B (zh) * 2017-07-05 2019-11-05 湖北鑫英泰系统技术股份有限公司 一种多级跳转后的ssh连接源追踪方法及装置
CN108173838A (zh) * 2017-12-26 2018-06-15 福建星瑞格软件有限公司 一种对网络设备访问的控制审计方法
CN108243187A (zh) * 2017-12-29 2018-07-03 亿阳安全技术有限公司 一种基于ssh隧道的自动加密方法、系统及服务模块
CN108449343A (zh) * 2018-03-21 2018-08-24 深圳天源迪科信息技术股份有限公司 Ssh协议文本数据采集方法、采集器及计算机设备
CN109101811A (zh) * 2018-08-10 2018-12-28 成都安恒信息技术有限公司 一种基于SSH隧道的可控Oracle会话的运维与审计方法
CN109101811B (zh) * 2018-08-10 2021-10-15 成都安恒信息技术有限公司 一种基于SSH隧道的可控Oracle会话的运维与审计方法
CN110602054A (zh) * 2019-08-20 2019-12-20 广州海颐信息安全技术有限公司 基于代理的特权凭证认证保护方法及装置
CN110719255A (zh) * 2019-09-04 2020-01-21 西安交大捷普网络科技有限公司 基于ssh协议的协同运维方法与系统
CN111526150A (zh) * 2020-04-28 2020-08-11 吴飞 关于单集群或多集群云电脑远程运维端口零信任自动化规则放行平台及放行方法
CN112039849A (zh) * 2020-08-06 2020-12-04 成都安恒信息技术有限公司 一种基于ssh的双网安全同步系统及方法
CN112039849B (zh) * 2020-08-06 2022-03-29 成都安恒信息技术有限公司 一种基于ssh的双网安全同步系统及方法

Similar Documents

Publication Publication Date Title
CN104270334A (zh) 一种ssh网络安全访问协议监测方法
CN111490993B (zh) 一种应用访问控制安全系统及方法
CN109842585B (zh) 面向工业嵌入式系统的网络信息安全防护单元和防护方法
US9448914B2 (en) Method and system for implementing remote debugging
CN104426837B (zh) Ftp的应用层报文过滤方法及装置
CN102347870B (zh) 一种流量安全检测方法、设备和系统
CN104065731A (zh) 一种ftp文件传输系统及传输方法
CN108243143B (zh) 一种基于web代理的网闸穿透方法及系统
CN111526061B (zh) 网络靶场实战演练场景的监控流量调度系统与方法
CN104811455A (zh) 一种云计算身份认证方法
CN105262597B (zh) 网络接入认证方法、客户终端、接入设备及认证设备
CN101399838A (zh) 报文处理方法、装置和系统
CN104717205A (zh) 基于报文重构的工控防火墙控制方法
WO2017012142A1 (zh) 一种双连接安全通讯的方法及装置
CN102957704B (zh) 一种确定mitm攻击的方法、装置及系统
CN102811225A (zh) 一种ssl中间代理访问web资源的方法及交换机
CN103179104A (zh) 一种远程服务的访问方法、系统及其设备
WO2017005163A1 (zh) 基于无线通信的安全认证装置
CN112689014A (zh) 一种双全工通信方法、装置、计算机设备和存储介质
CN112333203A (zh) 一种基于中间人技术的高交互蜜罐系统的rdp会话方法
CN103036883A (zh) 一种安全服务器的安全通讯方法与系统
CN106302369A (zh) 一种网络监控设备的远程激活方法、装置及远程激活系统
CN106992964A (zh) 一种适用于混合云的微服务安全代理系统
CN104065732A (zh) 一种Telnet代理转发机制
CN104852902A (zh) 基于改进Diameter/EAP-TLS协议的民航SWIM用户认证方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
AD01 Patent right deemed abandoned
AD01 Patent right deemed abandoned

Effective date of abandoning: 20180608