CN104836806B - 远程支持系统、远程接入系统、远程协助系统及远程协助方法 - Google Patents

远程支持系统、远程接入系统、远程协助系统及远程协助方法 Download PDF

Info

Publication number
CN104836806B
CN104836806B CN201510236468.5A CN201510236468A CN104836806B CN 104836806 B CN104836806 B CN 104836806B CN 201510236468 A CN201510236468 A CN 201510236468A CN 104836806 B CN104836806 B CN 104836806B
Authority
CN
China
Prior art keywords
remote
host
access
server
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510236468.5A
Other languages
English (en)
Other versions
CN104836806A (zh
Inventor
江泽鑫
陈炯聪
梁智强
黄曙
胡朝辉
李闯
林丹生
伍晓泉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Electric Power Research Institute of Guangdong Power Grid Co Ltd
Original Assignee
Electric Power Research Institute of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Electric Power Research Institute of Guangdong Power Grid Co Ltd filed Critical Electric Power Research Institute of Guangdong Power Grid Co Ltd
Priority to CN201510236468.5A priority Critical patent/CN104836806B/zh
Publication of CN104836806A publication Critical patent/CN104836806A/zh
Application granted granted Critical
Publication of CN104836806B publication Critical patent/CN104836806B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network

Abstract

一种远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及第一加密认证网关,操作主机、远程协助服务器及存储服务器均连接第一交换机,并连接至第一加密认证网关,第一加密认证网关通过专线网络连接远程接入系统。一种远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;现场被控主机与第二交换机连接,并连接至第二加密认证网关;所述现场被控主机通过第二加密认证网关连接专线网络,进而与远程协助系统连接。此两个系统通过专线网络提供较为安全的远程协助;在多个层面上加强了远程协助的安全防护。本发明还提供一种应用上述远程支持系统及上述远程接入系统的远程协助系统及远程协助方法。

Description

远程支持系统、远程接入系统、远程协助系统及远程协助方法
技术领域
[0001]本发明涉及信息安全领域,尤其涉及一种远程支持系统、远程接入系统、远程协助 系统及远程协助方法。
背景技术
[0002]近年来,互联网信息安全问题突出,通过互联网的黑客攻击尤为严重。为此,国家 以及各重点行业主管部门纷纷制定相应的信息安全管理和技术要求。
[0003]根据各行业的特点,安全防护的重点和技术要点稍有区别,但在安全设计的原则 上,对企业信息系统(特别是重点行业企业生产控制系统)安全防护的一个重点内容是“分 区”和“隔离”。通过层层分区隔离,并管控系统与互联网的边界是“重中之重”的技术要点。 然而,采用上述严格的安全防护措施的企业信息系统具有一个极为不便的问题:企业信息 系统运维中的故障排查、新系统上线前联调、系统安全防护测评等需要外部支持支援的工 作无法迅速开展,或者由于到现场支持工程师的数量和专长而导致现场工作不够充分,影 响工作的质量和效率。对于一般企业而言,传统的解决方法是通过互联网,使用类似QQ远程 协助的软件进行远程协助即可。然而,对于国家重点行业的重要生产系统而言,通过互联网 进行远程协助将可能带来极大的信息安全隐患,甚至在国家和行业的法律法规都是不被允 许的。
发明内容
[0004] 基于此,有必要提供一种安全的远程支持系统、远程接入系统、远程协助系统及远 程协助方法。
[0005] 一种远程协助系统,包括专线网络、远程支持系统及远程接入系统;所述远程接入 系统通过所述专线网络与所述远程支持系统连接;
[0006] 所述远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及 第一加密认证网关,所述操作主机、所述远程协助服务器及所述存储服务器均连接所述第 一交换机,并通过所述第一交换机连接至所述第一加密认证网关,所述第一加密认证网关 通过专线网络连接远程接入系统;其中,
[0007] 所述第一加密认证网关,用于通过所述专线网络与所述远程接入系统连接,并与 所述远程接入系统的第二加密认证网关配对使用,进行密钥协商,最终建立加密隧道;
[0008] 所述操作主机,用于对访问所述远程支持系统的用户进行人员身份验证,确保通 过人员身份验证的用户才能访问所述远程支持系统;
[0009] 所述远程协助服务器,用于通过建立的所述加密隧道对所述远程接入系统进行远 程操作;记录用户通过所述远程协助服务器对所述远程接入系统进行的所有操作,形成操 作记录;
[0010] 所述存储服务器,用于存储所述远程协助服务器记录的所述操作记录;
[0011] 所述远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;所述现 场被控主机与所述第二交换机连接,并通过所述第二交换机连接至所述第二加密认证网 关;所述现场被控主机通过所述第二加密认证网关连接专线网络,进而与远程协助系统连 接;
[0012] 所述第二加密认证网关,用于通过所述专线网络连接所述远程支持系统,并与远 程支持系统的第一加密认证网关配合使用,进行密钥协商,最终建立加密隧道;
[0013] 所述现场被控主机,用于与所述远程支持系统和需要被远程协助的企业系统连 接,并被所述远程支持系统的远程协助服务器远程操作,以对需要被远程协助的企业进行 远程协助。
[0014] 在其中一个实施例中,所述远程接入系统还包括现场环境采集设备,用于采集现 场环境数据;所述远程支持系统的所述存储服务器还用于存储所述现场环境采集设备采集 的现场环境数据。
[0015] 在其中一个实施例中,所述远程支持系统的所述操作主机还用于对访问所述远程 支持系统的用户进行访问权限控制,确保当前用户具有相应的操作权限。
[0016] 在其中一个实施例中,所述远程接入系统还包括无线网关,连接所述远程接入系 统的第二加密认证网关和所述专线网络;
[0017] 所述远程支持系统的所述现场被控主机包括第一网口和第二网口;所述第一网口 用于所述远程接入系统的所述现场被控主机与所述远程协助系统的所述远程协助服务器 进行通信;所述第二网口用于所述现场被控主机与需要被远程协助的企业系统进行通信。
[0018] —种远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及 第一加密认证网关,所述操作主机、所述远程协助服务器及所述存储服务器均连接所述第 一交换机,并通过所述第一交换机连接至所述第一加密认证网关,所述第一加密认证网关 通过专线网络连接远程接入系统;其中,
[0019] 所述第一加密认证网关,用于通过所述专线网络与所述远程接入系统连接,并与 所述远程接入系统的第二加密认证网关配对使用,进行密钥协商,最终建立加密隧道;
[0020] 所述操作主机,用于对访问所述远程支持系统的用户进行人员身份验证,确保通 过人员身份验证的用户才能访问所述远程支持系统;
[0021] 所述远程协助服务器,用于通过建立的所述加密隧道对所述远程接入系统进行远 程操作;记录用户通过所述远程协助服务器对所述远程接入系统进行的所有操作,形成操 作记录;
[0022] 所述存储服务器,用于存储所述远程协助服务器记录的所述操作记录。
[0023] 一种远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;所述现 场被控主机与所述第二交换机连接,并通过所述第二交换机连接至所述第二加密认证网 关;所述现场被控主机通过所述第二加密认证网关连接专线网络,进而与远程协助系统连 接;
[0024] 所述第二加密认证网关,用于通过所述专线网络连接所述远程支持系统,并与远 程支持系统的第一加密认证网关配合使用,进行密钥协商,最终建立加密隧道;
[0025] 所述现场被控主机,用于与所述远程支持系统和需要被远程协助的企业系统连 接,并被所述远程支持系统的远程协助服务器远程操作,以对需要被远程协助的企业进行 远程协助。
[0026] 一种远程协助方法,包括步骤:
[0027] 远程接入系统的第二加密认证网关通过专线网络向远程支持系统的第一加密认 证网关发起密钥协商,最终建立加密隧道;
[0028]操作主机对访问远程支持系统的用户进行人员身份验证,以确保通过人员身份验 证的用户才能访问远程支持系统;
[0029] 通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统的现 场被控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作;及
[0030] 远程协助服务器记录用户通过远程协助服务器对现场被控主机进行的所有操作, 形成操作记录;存储器服务器存储远程协助服务器记录的操作记录。
[0031] 在其中一个实施例中,
[0032] 所述用户在操作主机上通过远程协助服务器对现场被控主机进行操作的步骤时, 还包括步骤:
[0033] 现场环境采集设备采集现场环境数据;存储器服务器存储现场环境采集设备采集 的现场环境数据。
[0034] 在其中一个实施例中,所述远程协助服务器记录用户通过远程协助服务器对现场 被控主机进行的所有操作,形成操作记录;存储器服务器存储远程协助服务器记录的操作 记录的步骤,或所述现场环境采集设备采集现场环境数据;存储器服务器存储现场环境采 集设备采集的现场环境数据的步骤之后,还包括步骤:
[0035]在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程协助进 行安全审计。
[0036]在其中一个实施例中,所述操作主机对访问远程支持系统的用户进行人员身份验 证,以确保通过人员身份验证的用户才能访问远程支持系统的步骤之后,
[0037] 所述通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统 的现场被控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作的步骤 或/及所述在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程协助 进行安全审计的步骤之前,还包括步骤:
[0038]操作主机对访问远程支持系统的用户进行访问权限控制,确保当前用户具有相应 的操作权限。
[0039]上述远程支持系统、远程接入系统、远程协助系统及远程协助方法,通过专线网络 提供较为安全的远程协助;在网络层面、主机层面、应用层面上加强了远程协助的安全防 护。
附图说明
[0040]图1为本发明中远程协助系统的一种实施方式的结构示意图;
[0041]图2为本发明中远程协助方法的一种实施方式的流程图;
[0042]图3为本发明中远程协助方法的另一种实施方式的流程图。
具体实施方式
[0043]为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中 给出了本发明的较佳的实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文 所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容的理解更加透 彻全面。
[0044]除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的 技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具 体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“或/和”包括一个或多个相 关的所列项目的任意的和所有的组合。
[0045]如图1所示,一种实施方式的远程协助系统,包括远程支持系统100、远程接入系统 200及专线网络300。远程接入系统200通过专线网络300与远程支持系统100连接。
[0046] 在其中一个实施例中,专线网络300具体为4G APN专线网络。
[0047] 请继续参阅图1,一种实施方式的远程支持系统100,包括:
[0048] 操作主机110、远程协助服务器130、存储服务器150、第一交换机160及第一加密认 证网关170。操作主机110、远程协助服务器130及存储服务器150均连接第一交换机160,并 通过第一交换机160连接至第一加密认证网关170;第一加密认证网关170通过专线网络300 连接远程接入系统200。在本实施例中,第一交换机160为二层交换机。
[0049] 第一加密认证网关170,用于通过专线网络300与远程接入系统200连接,并与远程 接入系统200的第二加密认证网关270配对使用,进行密钥协商,最终建立加密隧道。
[0050] 第一加密认证网关170通过专线网络300与远程接入系统200连接,提升远程支持 系统100的安全性。且第一加密认证网关170和第二加密认证网关270采用IPSEC协议进行密 钥协商,最终建立加密隧道,如此,在网络层面上加强远程协助的安全防护。每次第一加密 认证网关170或第二加密认证网关270有数据发送或接收时,需要采用协商好的密钥对发送 的数据进行加密,或采用协商好的密钥对接收的数据进行解密。该加密及解密的密钥是通 过密钥协商得到的,是唯一的,因此能通过密钥判断是哪一个用户发送的,从而可用于身份 认证。从而,可以确保远程支持系统100与远程接入系统200之间通信数据的真实性、完整性 和抗抵赖性。
[0051] 具体地,第一加密认证网关170可配置为网关模式或透明模式。当第一加密认证网 关170配制为透明模式时,将专线网络300出口路由器的IP地址作为网关地址。
[0052] 操作主机110,用于对访问远程支持系统100的用户进行人员身份验证,确保通过 人员身份验证的用户才能访问远程支持系统1 〇〇,在主机层面上加强远程协助的安全防护。 操作主机110内预存了允许访问的用户名,只有是允许访问的用户才可访问操作主机110。
[0053] 在其中一个实施例中,操作主机110为堡垒机。
[0054] 远程协助服务器130,用于通过建立的加密隧道对远程接入系统200进行远程操 作;记录用户通过远程协助服务器130对远程接入系统200进行的所有操作,形成操作记录。
[0055] 远程协助服务器130上配置有远程协助软件的主控端程序。用户能够在操作主机 110上通过远程协助服务器130上运行的远程协助软件对现场被控主机进行操作,从而对与 现场被控主机连接的企业系统提供远程协助,如此,在应用层面上加强远程协助的安全防 护。远程协助服务器130还用于记录用户通过远程协助服务器130对远程接入系统200进行 的所有操作,形成操作记录,并将其发送给存储服务器150。具体地,操作记录包括键盘和屏 幕的变化过程。
[0056] 存储服务器150,用于存储远程协助服务器130记录的操作记录。
[0057] 存储服务器150接收并存储服务器150发送的操作记录,从而为系统安全审计提供 数据基础,可以供用户通过操作主机110进行相应的安全审计时使用。可每隔一定时间或者 当出现安全事故时对远程协助系统的使用进行审计,即从使用的用户、使用的操作等各过 程审查是否有人违规操作,如果有,违规操作的用户是谁等。
[0058] 在其中一个实施例中,存储器服务器150还用于存储远程接入系统2〇0的现场环境 采集设备250采集的现场环境数据。其中,现场环境数据包括:地理位置信息和现场录像信 息。
[0059] 在其中一个实施例中,存储服务器150配置多块磁盘,是采用RAID技术部署的高可 用存储,提供比单个磁盘更高的存储性能和提供数据备份技术,从而使远程协助系统具有 更好的稳定性和更快的响应速度。
[0060] 在其中一个实施例中,操作主机110还用于对访问远程支持系统的用户进行访问 权限控制,确保当前用户具有相应的操作权限。每一个用户都至少有一个角色,如系统管理 员、远程协助人员、安全审计人员等。不是任何用户都可以做任何操作,不同的角色应该拥 有不同的操作权限,以限定用户不能越权操作,进一步保证系统数据的安全性。
[0061] 上述远程支持系统100的第一加密认证网关170通过专线网络300连接远程接入系 统200,而不通过互联网,可以提升远程协助的安全性。且第一加密认证网关170通过专线网 络300与远程接入系统200连接,并与远程接入系统200的第二加密认证网关270配对使用, 进行密钥协商,最终建立加密隧道,确保远程支持系统100与远程接入系统200之间通信数 据的真实性、完整性和抗抵赖性,在网络层面上加强远程协助的安全防护。操作主机11〇对 访问远程支持系统100的用户进行人员身份验证,在主机层面上加强远程协助的安全防护。 远程协助服务器130上的远程协助软件对远程接入系统200进行远程协助,在应用层面上加 强远程协助的安全防护。通过存储服务器150存储远程协助服务器130记录的操作记录,从 而可以提供对远程协助操作的审计工作。因此,上述远程支持系统100较为安全。
[0062] 请继续参阅图1,一种实施方式的远程接入系统200,包括:
[0063] 现场被控主机230、现场环境采集设备250、第二加密认证网关270、第二交换机260 及无线网关290。现场被控主机230和现场环境采集设备250与第二交换机260连接,并通过 第二交换机260连接至第二加密认证网关270。现场被控主机230通过第二加密认证网关270 和无线网关290连接专线网络300,进而与远程协助系统100连接。在本实施例中,第二交换 机260为二层交换机。
[0064] 第二加密认证网关270,用于通过专线网络300连接远程支持系统100,并与远程支 持系统100的第一加密认证网关170配合使用,进行密钥协商,最终建立加密隧道。
[0065] 第二加密认证网关270通过专线网络300与远程接入系统200连接,如此,在网络层 面上加强远程协助的安全防护。第二加密认证网关270和第一加密认证网关170采用IPSEC 协议进行密钥协商,最终建立加密隧道。每次第二加密认证网关270或第一加密认证网关 17〇有数据发送或接收时,需要采用协商好的密钥对发送的数据进行加密,或采用协商好的 密钥对接收的数据进行解密。该加密及解密的密钥是通过密钥协商得到的,是唯一的,可用 于身份认证。从而,可以确保远程接入系统200与远程支持系统100之间通信数据的真实性、 完整性和抗抵赖性。
[0066] 第二加密认证网关270可配置为网关模式或透明模式。当第二加密认证网关270配 制为透明模式时,将专线网络300出口路由器的IP地址或无线网关290的IP地址作为网关地 址。
[0067] 现场被控主机230,用于与远程支持系统100和需要被远程协助的企业系统连接, 从而由远程支持系统100的远程协助服务器130远程操作,以对需要被远程协助的企业进行 远程协助。现场被控主机230上配置了与远程支持系统100的远程协助服务器130相对应的 远程协助程序的受控端。因此,现场被控主机230能使用户在操作主机110上通过远程协助 服务器130上运行的远程协助软件的控制下,对与现场被控主机230连接的企业系统提供远 程协助功能。如此,在应用层面上解决远程协助的安全防护问题。
[0068]具体地,现场被控主机230包括两个以太网口,分别为第一网口和第二网口。第一 网口用于现场被控主机230与远程支持系统100的远程协助服务器130进行通信;第二网口 用于现场被控主机230与需要远程协助的企业系统进行通信。远程支持系统100的远程协助 服务器130通过第一网口控制现场被控主机230;然后再通过被控制的现场被控主机230的 第二网口对需要被远程协助的企业系统进行操作。
[0069] 在其中一个实施例中,现场被控主机230还用于抓取第二网口的所有通信数据,并 发送至存储服务器150进行存储。具体的,现场被控主机230可以通过运行抓包程序以抓取 第二网口的所有通信数据。远程支持系统100的存储服务器150接收并存储该通信数据;该 通信数据可用于安全审计。
[0070] 现场环境采集设备250,用于采集现场环境数据。现场环境采集设备250还用于将 采集到的现场环境数据发送至远程支持系统100的存储服务器150进行存储。具体地,现场 环境采集设备250包括地理位置信息采集设备251或/和现场录像机设备253。现场环境数据 包括地理位置信息或/和现场操作录像信息。其中,地理位置信息采集设备251连接现场被 控主机230,用于采集现场被控主机230的地理位置信息,并发送至存储服务器150进行存 储。现场录像机设备253设置于现场被控主机230旁,用于对现场被控主机230采集现场操作 录像信息,并发送至存储服务器150进行存储。远程支持系统100的存储服务器150接收并存 储现场环境采集设备250采集的现场环境数据,一方面,用于安全审计。另一方面,还可用于 辅助远程支持系统100的用户进行远程协助工作。可以理解地,在一些实施例中,现场环境 采集设备250可以省略。
[0071] 无线网关290,连接第二加密认证网关270和专线网络300;用于将远程接入系统 200与专线网络300进行连接。具体地,无线网关290用于将远程接入系统200与专线网络300 进行拨号连接。专线网络300为4G APN专线网络。可以理解地,无线网关290可以省略,而远 程接入系统200直接通过第二加密认证网关270连接到专线网络300,进而与远程支持系统 100连接。
[0072] 上述远程接入系统200的第二加密认证网关270通过专线网络300连接远程支持系 统100,而不通过互联网,可以提升远程协助的安全性。且第二加密认证网关270与远程支持 系统100的第一加密认证网关170配合使用,进行起密钥协商,最终建立加密隧道,确保远程 接入系统200与远程支持系统100之间通信数据的真实性、完整性和抗抵赖性,在网络层面 上解决远程协助安全防护问题。现场被控主机230与远程支持系统100和需要被远程协助的 企业系统连接,并被远程支持系统1〇〇的远程协助服务器130远程操作,以对需要被远程协 助的企业进行远程协助,在应用层面上解决远程协助的安全防护问题。通过现场环境采集 设备250对现场环境数据进行采集,并发送至存储器服务器150进行存储,从而可以提供对 远程协助操作的审计工作。因此,上述远程接入系统200较为安全。
[0073]上述远程接入系统200,还具有极大的移动便携特点,远程接入系统200只需要在 现场上电,并将现场被控主机230预留的第二网口接入到需要被远程协助的企业系统即可, 不需要在现场实施复杂的配置操作。
[0074]如图2所示,一种实施方式的远程协助方法,包括步骤:
[0075] S100:远程接入系统的第二加密认证网关通过专线网络向远程支持系统的第一加 密认证网关发起密钥协商,最终建立加密隧道。
[0076] 具体地,远程接入系统上电后,远程接入系统的第二加密认证网关通过专线网络 向远程支持系统的第一加密认证网关发起密钥协商,最终建立加密隧道。通过专线网络而 不是互联网进行通信,可以提升远程协助系统的安全性。每次第一加密认证网关或第二加 密认证网关有数据发送或接收时,需要采用协商好的密钥对发送的数据进行加密;采用协 商好的密钥对接收的数据进行解密。该加密及解密的密钥是通过密钥协商得到的,是唯一 的,因此,可用于身份认证。如此,在网络层面上加强远程协助的安全防护。
[0077] S200:操作主机对访问远程支持系统的用户进行人员身份验证,以确保通过人员 身份验证的用户才能访问远程支持系统。
[0078] 如此,在主机层面上加强远程协助的安全防护。
[0079] S300:通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统 的现场被控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作。
[0080] 用户能够在操作主机上通过远程协助服务器上运行的远程协助软件对现场被控 主机进行操作,从而对与现场被控主机连接的企业系统提供远程协助。在应用层面上加强 远程协助的安全防护。
[0081] 步骤S300中,用户在操作主机上通过远程协助服务器对现场被控主机进行操作 时,还包括步骤:
[0082] S400:远程协助服务器记录用户通过远程协助服务器对现场被控主机进行的所有 操作,形成操作记录;存储器服务器存储远程协助服务器记录的操作记录。
[0083]其中,存储服务器配置多块磁盘,是采用RAID技术部署的高可用存储,提供比单个 磁盘更高的存储性能和提供数据备份技术,从而使远程协助系统具有更好的稳定性和更快 的响应速度。
[0084] 请参阅图3,在其中给一个实施例中,步骤S300中用户在操作主机上通过远程协助 服务器对现场被控主机进行操作时,还包括步骤:
[0085] S500:现场环境采集设备采集现场环境数据;存储器服务器存储现场环境采集设 备采集的现场环境数据。
[0086] 现场环境采集设备包括地理位置信息采集设备和现场录像设备。现场环境数据包 括:地理位置信息和现场录像信息。其中,地理位置信息采集设备采集地理位置信息;现场 录像设备采集现场录像信息。
[0087] 在其中一个实施例中,步骤S400或步骤S500之后,远程协助方法还包括步骤:
[0088] S600:在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程 协助进行安全审计。
[0089] 安全审计包括:根据某一用户或某次安全协助操作,查看存储服务器中的相关操 作记录或/及现场环境数据。在其中给一个实施例中,安全审计还包括:对查看的用户或安 全协助操作进行评价。
[0090] 在其中一个实施例中,在步骤S200之后,步骤S300或/及步骤S600之前,还包括步 骤:
[0091] S210:操作主机对访问远程支持系统的用户进行访问权限控制,确保当前用户具 有相应的操作权限。
[0092]每一个用户都至少有一个角色,如系统管理员、远程协助人员、安全审计人员等。 不是任何用户都可以做任何操作,不同的角色应该拥有不同的操作权限,以限定用户不能 越权操作,进一步保证系统数据的安全性。
[0093] 具体地,在步骤S300之前,步骤S210具体为:操作主机对访问远程支持系统的用户 进行访问权限控制,确保当前用户具有访问远程协助服务器及远程操作现场被控主机及对 其做相应操作的权限;否则不能进行步骤S300。
[0094] 在步骤S600之前,步骤S210具体为:操作主机对访问远程支持系统的用户进行访 问权限控制,确保当前用户具有访问存储服务器及做相应的安全审计的权限;否则不能进 行步骤S600。
[0095]上述远程协助方法中远程接入系统的第二加密认证网关通过专线网络向远程支 持系统的第一加密认证网关发起密钥协商,最终建立加密隧道,可以提升远程协助的安全 性,并且可以确保远程接入系统与远程支持系统之间通信数据的真实性、完整性和抗抵赖 性,在网络层面上解决远程协助安全防护问题。在操作主机上对访问远程支持系统的用户 进行人员身份验证,在主机层面上加强远程协助的安全防护。远程协助服务器启动远程协 助软件,并通过建立的加密隧道连接远程协助服务器与现场被控主机,在应用层面上加强 远程协助的安全防护。远程支持系统的远程协助服务器上的远程协助软件对远程接入系统 进行远程协助,在应用层面上加强远程协助的安全防护。远程支持系统的存储器服务器存 储远程协助服务器记录的操作记录,从而可以提供对远程协助操作的审计工作。因此,上述 远程协助方法是安全的。
[0096]以上实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能 因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说, 在不脱离本发明构思的前提下,还可以做出多个变形和改进,这些都属于本发明的保护范 围。因此,本发明专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种远程协助系统,包括专线网络、远程支持系统及远程接入系统;所述远程接入系 统通过所述专线网络与所述远程支持系统连接;所述专线网络为4G APN专线网络; 所述远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及第一 加密认证网关,所述操作主机、所述远程协助服务器及所述存储服务器均连接所述第一交 换机,并通过所述第一交换机连接至所述第一加密认证网关,所述第一加密认证网关通过 专线网络连接远程接入系统;其中, 所述第一加密认证网关,用于通过所述专线网络与所述远程接入系统连接,并与所述 远程接入系统的第二加密认证网关配对使用,进行密钥协商,最终建立加密隧道; 所述操作主机,用于对访问所述远程支持系统的用户进行人员身份验证,确保通过人 员身份验证的用户才能访问所述远程支持系统; 所述远程协助服务器,用于通过建立的所述加密隧道对所述远程接入系统进行远程操 作;记录用户通过所述远程协助服务器对所述远程接入系统进行的所有操作,形成操作记 录; 所述存储服务器,用于存储所述远程协助服务器记录的所述操作记录; 所述远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;所述现场被 控主机与所述第二交换机连接,并通过所述第二交换机连接至所述第二加密认证网关;所 述现场被控主机通过所述第二加密认证网关连接专线网络,进而与远程协助系统连接; 所述第二加密认证网关,用于通过所述专线网络连接所述远程支持系统,并与远程支 持系统的第一加密认证网关配合使用,进行密钥协商,最终建立加密隧道; 所述现场被控主机,用于与所述远程支持系统和需要被远程协助的企业系统连接,并 被所述远程支持系统的远程协助服务器远程操作,以对需要被远程协助的企业进行远程协 助。
2. 根据权利要求1所述的远程协助系统,其特征在于,所述远程接入系统还包括现场环 境采集设备,用于采集现场环境数据;所述远程支持系统的所述存储服务器还用于存储所 述现场环境采集设备采集的现场环境数据。
3. 根据权利要求1或2所述的远程协助系统,其特征在于, 所述远程支持系统的所述操作主机还用于对访问所述远程支持系统的用户进行访问 权限控制,确保当前用户具有相应的操作权限。
4. 根据权利要求1所述的远程协助系统,其特征在于,所述远程接入系统还包括无线网 关,连接所述远程接入系统的第二加密认证网关和所述专线网络; 所述远程接入系统的所述现场被控主机包括第一网口和第二网口;所述第一网口用于 所述远程接入系统的所述现场被控主机与所述远程协助系统的所述远程协助服务器进行 通信;所述第二网口用于所述现场被控主机与需要被远程协助的企业系统进行通信。
5. —种远程支持系统,包括操作主机、远程协助服务器、存储服务器、第一交换机及第 一加密认证网关,所述操作主机、所述远程协助服务器及所述存储服务器均连接所述第一 交换机,并通过所述第一交换机连接至所述第一加密认证网关,所述第一加密认证网关通 过专线网络连接远程接入系统;所述专线网络为4G APN专线网络;其中, 所述第一加密认证网关,用于通过所述专线网络与所述远程接入系统连接,并与所述 远程接入系统的第二加密认证网关配对使用,进行密钥协商,最终建立加密隧道; 所述操作主机,用于对访问所述远程支持系统的用户进行人员身份验证,确保通过人 员身份验证的用户才能访问所述远程支持系统; 所述远程协助服务器,用于通过建立的所述加密隧道对所述远程接入系统进行远程操 作;记录用户通过所述远程协助服务器对所述远程接入系统进行的所有操作,形成操作记 录; 所述存储服务器,用于存储所述远程协助服务器记录的所述操作记录。
6. —种远程接入系统,包括现场被控主机、第二交换机、第二加密认证网关;所述现场 被控主机与所述第二交换机连接,并通过所述第二交换机连接至所述第二加密认证网关; 所述现场被控主机通过所述第二加密认证网关连接专线网络,进而与远程协助系统连接; 所述第二加密认证网关,用于通过所述专线网络连接所述远程支持系统,并与远程支 持系统的第一加密认证网关配合使用,进行密钥协商,最终建立加密隧道;所述专线网络为 4G APN专线网络; 所述现场被控主机,用于与所述远程支持系统和需要被远程协助的企业系统连接,并 被所述远程支持系统的远程协助服务器远程操作,以对需要被远程协助的企业进行远程协 助。
7. —种远程协助方法,包括步骤: 远程接入系统的第二加密认证网关通过专线网络向远程支持系统的第一加密认证网 关发起密钥协商,最终建立加密隧道;所述专线网络为4G APN专线网络; 操作主机对访问远程支持系统的用户进行人员身份验证,以确保通过人员身份验证的 用户才能访问远程支持系统; 通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统的现场被 控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作;及 远程协助服务器记录用户通过远程协助服务器对现场被控主机进行的所有操作,形成 操作记录;存储器服务器存储远程协助服务器记录的操作记录。
8. 根据权利要求7所述的远程协助方法,其特征在于, 所述用户在操作主机上通过远程协助服务器对现场被控主机进行操作的步骤时,还包 括步骤: 现场环境采集设备采集现场环境数据;存储器服务器存储现场环境采集设备采集的现 场环境数据。
9. 根据权利要求7或8所述的远程协助方法,其特征在于,所述远程协助服务器记录用 户通过远程协助服务器对现场被控主机进行的所有操作,形成操作记录;存储器服务器存 储远程协助服务器记录的操作记录的步骤,或所述现场环境采集设备采集现场环境数据; 存储器服务器存储现场环境采集设备采集的现场环境数据的步骤之后,还包括步骤: 在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程协助进行安 全审计。
10. 根据权利要求9所述的远程协助方法,其特征在于, 所述操作主机对访问远程支持系统的用户进行人员身份验证,以确保通过人员身份验 证的用户才能访问远程支持系统的步骤之后, 所述通过建立的加密隧道连接远程支持系统的远程协助服务器与远程接入系统的现 场被控主机;用户在操作主机上通过远程协助服务器对现场被控主机进行操作的步骤或/ 及所述在操作主机上根据存储服务器存储的操作记录或/及现场环境数据对远程协助进行 安全审计的步骤之前,还包括步骤: 操作主机对访问远程支持系统的用户进行访问权限控制,确保当前用户具有相应的操 作权限。
CN201510236468.5A 2015-05-11 2015-05-11 远程支持系统、远程接入系统、远程协助系统及远程协助方法 Active CN104836806B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510236468.5A CN104836806B (zh) 2015-05-11 2015-05-11 远程支持系统、远程接入系统、远程协助系统及远程协助方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510236468.5A CN104836806B (zh) 2015-05-11 2015-05-11 远程支持系统、远程接入系统、远程协助系统及远程协助方法

Publications (2)

Publication Number Publication Date
CN104836806A CN104836806A (zh) 2015-08-12
CN104836806B true CN104836806B (zh) 2018-11-20

Family

ID=53814442

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510236468.5A Active CN104836806B (zh) 2015-05-11 2015-05-11 远程支持系统、远程接入系统、远程协助系统及远程协助方法

Country Status (1)

Country Link
CN (1) CN104836806B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1848602A (zh) * 2006-03-22 2006-10-18 珠海市伊特高科技有限公司 远程通讯配电监控系统及方法
CN201699742U (zh) * 2009-12-21 2011-01-05 上海可鲁系统软件有限公司 一种远程网络安全接入控制装置
CN103441991A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种移动终端安全接入平台
CN104092727A (zh) * 2014-06-12 2014-10-08 中国石油集团东方地球物理勘探有限责任公司 一种基于3g虚拟专用网络的地震仪器远程支持系统及方法
CN104122877A (zh) * 2014-08-06 2014-10-29 北京大邦实创节能技术服务有限公司 锅炉远程监控系统及锅炉远程监控方法
CN204559620U (zh) * 2015-05-11 2015-08-12 广东电网有限责任公司电力科学研究院 远程支持系统、远程接入系统及远程协助系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1848602A (zh) * 2006-03-22 2006-10-18 珠海市伊特高科技有限公司 远程通讯配电监控系统及方法
CN201699742U (zh) * 2009-12-21 2011-01-05 上海可鲁系统软件有限公司 一种远程网络安全接入控制装置
CN103441991A (zh) * 2013-08-12 2013-12-11 江苏华大天益电力科技有限公司 一种移动终端安全接入平台
CN104092727A (zh) * 2014-06-12 2014-10-08 中国石油集团东方地球物理勘探有限责任公司 一种基于3g虚拟专用网络的地震仪器远程支持系统及方法
CN104122877A (zh) * 2014-08-06 2014-10-29 北京大邦实创节能技术服务有限公司 锅炉远程监控系统及锅炉远程监控方法
CN204559620U (zh) * 2015-05-11 2015-08-12 广东电网有限责任公司电力科学研究院 远程支持系统、远程接入系统及远程协助系统

Also Published As

Publication number Publication date
CN104836806A (zh) 2015-08-12

Similar Documents

Publication Publication Date Title
US10021143B2 (en) Method and apparatus for multi-tenancy secrets management in multiple data security jurisdiction zones
CN105027493B (zh) 安全移动应用连接总线
CN103051602B (zh) 用于维护验证信息的便携式安全设备和方法
KR101361161B1 (ko) 모바일 클라우드 접속 상황 정보 이용 인증 강화 시스템 및 방법
JP3890398B2 (ja) ピアツーピア型匿名プロキシにおける安全性の高い匿名通信路の検証及び構築する方法
JP3262689B2 (ja) 遠隔操作システム
JP4630896B2 (ja) アクセス制御方法、アクセス制御システムおよびパケット通信装置
US7546360B2 (en) Isolated working chamber associated with a secure inter-company collaboration environment
EP1804461B1 (en) Method and apparatus for secure communication between user device and private network
JP4657619B2 (ja) 情報処理装置及びアクセス権管理方法
US20140020062A1 (en) Techniques for protecting mobile applications
US9954687B2 (en) Establishing a wireless connection to a wireless access point
CN101635730B (zh) 中小企业内网信息安全托管方法与系统
CN101778099B (zh) 可容忍非信任组件的可信网络接入架构及其接入方法
JP4245972B2 (ja) 無線通信方法、無線通信装置、通信制御プログラム、通信制御装置、鍵管理プログラム、無線lanシステム、および記録媒体
CN104410569B (zh) 一种感知通信互联网关及数据处理方法
CN105027498B (zh) 一种通过远程分隔和组装数据文件实现安全存储的方法及其系统和装置
JP2013539093A (ja) モバイル機器へのリモート・アクセス
US9282122B2 (en) Method and apparatus for multi-tenancy secrets management
US20070186275A1 (en) Enterprise-wide security system for computer devices
US20100153704A1 (en) Trusted Bypass For Secure Communication
CN101201727B (zh) 通过网络的打印机选择支持装置及系统
JP5494816B2 (ja) 通信制御装置、システム、方法及びプログラム
EP2733656A1 (en) System and method for enforcing a security policy on mobile devices using dynamically generated security profiles
US20130031155A1 (en) Electronic file sharing

Legal Events

Date Code Title Description
PB01 Publication
C06 Publication
SE01 Entry into force of request for substantive examination
EXSB Decision made by sipo to initiate substantive examination
GR01 Patent grant
GR01 Patent grant