CN105162787A - 外网终端访问厂商设备或内网终端的方法和装置 - Google Patents
外网终端访问厂商设备或内网终端的方法和装置 Download PDFInfo
- Publication number
- CN105162787A CN105162787A CN201510593817.9A CN201510593817A CN105162787A CN 105162787 A CN105162787 A CN 105162787A CN 201510593817 A CN201510593817 A CN 201510593817A CN 105162787 A CN105162787 A CN 105162787A
- Authority
- CN
- China
- Prior art keywords
- network termination
- connection
- vendor equipment
- address
- authorization code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种外网终端访问厂商设备或内网终端的方法和装置,该方法包括:服务器接收外网终端发送的授权码,对授权码进行验证;验证通过后,接收外网终端发送连接厂商设备或内网终端的第一连接请求,根据第一连接请求获取目的IP地址和端口号,并对应生成临时IP地址和端口,通过临时IP地址和端口与外网终端建立第一连接;与厂商设备建立隧道连接,通过隧道连接发送第二连接请求至厂商设备,使厂商设备根据第二连接请求中携带的目的IP地址和端口号与厂商设备或内网终端建立第二连接。该方法和装置在第一连接、隧道连接及第二连接之间转发数据,实现外网终端访问内网设备,不需做端口映射,简化企业IT人员的操作,并且生成加密隧道提高安全性。
Description
技术领域
本发明涉及网络技术领域,特别是涉及一种外网终端访问厂商设备或内网终端的方法和装置。
背景技术
随着网络安全意识的提高,目前很多企业为了维护资讯安全,都会将购买的厂商设备运行于其企业自身的局域网中。众所周知,网络设备需要定期得到维护,才能维持正常运转,而当企业内部IT管理人员无法完成一些网络设备的维护时,比如设备的升级、故障的排查等,会需要设备厂商的技术人员(以下简称技术支持人员)的协助。
目前,通常是在内网出口的NAT(NetworkAddressTranslation,网络地址转换)设备上增加几条静态NAT规则做端口映射,从而实现技术支持人员通过外网终端访问内网设备(如厂商设备或内网终端)。然而,很多企业的IT管理员并没有这样的技术或者由于资讯安全管控做端口映射需要通过企业内部复杂的行政审批流程,因此,做端口映射很不方便。
此外,TELNET、HTTP这些协议非常不安全,即使是正常的维护也可能被随意的监听和篡改,使这些不安全的协议得到有效防护非常重要。
因此,如何使企业内部的IT管理人员能够进行简单操作就实现技术支持人员通过外网终端访问内网设备,进行设备维护,并且同时保证使用协议的安全性是一件急需解决的问题。
发明内容
基于此,提供一种既操作简单又有安全保障的外网终端访问厂商设备或内网终端的方法和装置。
一种外网终端访问厂商设备或内网终端的方法,所述方法包括:
服务器接收外网终端发送的授权码,对所述授权码进行验证;
所述验证通过后,所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号,并根据所述目的IP地址和目的端口号分别生成临时IP地址和临时端口,通过所述临时IP地址和临时端口与所述外网终端建立第一连接;
所述服务器与厂商设备建立隧道连接,通过所述隧道连接发送第二连接请求至所述厂商设备,所述第二连接请求携带所述目的IP地址和目的端口号,使所述厂商设备根据所述目的IP地址和目的端口号与所述厂商设备或所述内网终端建立第二连接;
当所述服务器通过所述第一连接接收所述外网终端发送的访问请求时,将所述访问请求通过所述隧道连接转发至所述厂商设备,使所述厂商设备再通过所述第二连接将所述访问请求转发至所述厂商设备或所述内网终端。
在其中一个实施例中,在所述服务器接收外网终端发送的授权码,对所述授权码进行验证的步骤之前,还包括:
所述服务器接收所述厂商设备发送的授权码申请请求,根据所述授权码申请请求生成唯一的授权码;
所述服务器将所述授权码返回给所述厂商设备,并保持与所述厂商设备之间的连接。
在其中一个实施例中,所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号的步骤,包括:
所述服务器接收所述外网终端发送的连接所述厂商设备的第一连接请求,从所述第一连接请求中获取目的端口号,并自动生成本地回环地址当作所述第一连接请求的目的IP地址。
在其中一个实施例中,在所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号的步骤之前,还包括:所述服务器接收所述厂商设备发送的所述内网终端的IP地址,并与所述授权码进行对应存储;
所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号的步骤,包括:
所述服务器接收所述外网终端发送的连接所述内网终端的第一连接请求,从所述第一连接请求中获取目的端口号,并获取存储的所述内网终端的IP地址当作所述第一连接请求的目的IP地址。
在其中一个实施例中,在所述使所述厂商设备根据所述目的IP地址和目的端口号与所述厂商设备或所述内网终端建立第二连接的步骤之后,还包括:
所述服务器接收所述外网终端发送的授权码注销请求,根据所述授权码注销请求删除存储的所述授权码,通知所述厂商设备断开与所述服务器之间的连接。
一种外网终端访问厂商设备或内网终端的装置,所述装置包括:
授权码验证模块,用于服务器接收外网终端发送的授权码,对所述授权码进行验证;
第一连接建立模块,用于所述验证通过后,所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号,并根据所述目的IP地址和目的端口号分别生成临时IP地址和临时端口,通过所述临时IP地址和临时端口与所述外网终端建立第一连接;
第二连接建立模块,用于所述服务器与厂商设备建立隧道连接,通过所述隧道连接发送第二连接请求至所述厂商设备,所述第二连接请求携带所述目的IP地址和目的端口号,使所述厂商设备根据所述目的IP地址和目的端口号与所述厂商设备或所述内网终端建立第二连接;
所述第一连接建立模块还用于当所述服务器通过所述第一连接接收所述外网终端发送的访问请求时,将所述访问请求发送给所述第二连接建立模块;
所述第二连接建立模块还用于接收所述第一连接建立模块发送的访问请求,并将所述访问请求通过所述隧道连接转发至所述厂商设备,使所述厂商设备再通过所述第二连接将所述访问请求转发至所述厂商设备或所述内网终端。
在其中一个实施例中,所述装置还包括:
授权码生成模块,用于所述服务器接收所述厂商设备发送的授权码申请请求,根据所述授权码申请请求生成唯一的授权码,所述服务器将所述授权码返回给所述厂商设备;
连接保持模块,用于保持与所述厂商设备之间的连接。
在其中一个实施例中,所述第一连接建立模块还用于所述服务器接收所述外网终端发送的连接所述厂商设备的第一连接请求,从所述第一连接请求中获取目的端口号,并自动生成本地回环地址当作所述第一连接请求的目的IP地址。
在其中一个实施例中,所述装置还包括:
存储模块,用于所述服务器接收所述厂商设备发送的所述内网终端的IP地址,并与所述授权码进行对应存储;
所述第一连接建立模块还用于所述服务器接收所述外网终端发送的连接所述内网终端的第一连接请求,从所述第一连接请求中获取目的端口号,并获取存储的所述内网终端的IP地址当作所述第一连接请求的目的IP地址。
在其中一个实施例中,所述装置还包括:
授权码注销模块,用于所述服务器接收所述外网终端发送的授权码注销请求,根据所述授权码注销请求删除存储的所述授权码,通知所述厂商设备断开与所述服务器之间的连接。
上述外网终端访问厂商设备或内网终端的方法和装置,将通过授权码验证后的外网终端连接厂商设备或内网终端的第一连接请求中获取目的IP地址和目的端口号,并根据目的IP地址和目的端口号,生成临时IP地址和端口与外网终端建立第一连接,在第一连接建立之后,服务器根据目的IP地址和目的端口号生成第二连接请求,通过与厂商设备之间建立的隧道连接将第二连接请求发送给厂商设备,使厂商设备根据第二连接请求中的目的IP地址和目的端口号与厂商设备或内网终端建立第二连接。当外网终端通过第一连接发送访问厂商设备或内网终端的请求时,服务器通过隧道连接将访问请求转发给厂商设备,使厂商设备通过第二连接将访问请求转发给厂商设备或内网终端,从而实现外网终端对厂商设备或内网终端的访问。该方法不需要通过修改NAT设置来增加端口映射,使企业内部IT管理员的操作得到大大的简化,同时,生成的加密隧道可以有效保护一些弱协议的安全性,提高了安全性。
附图说明
图1A是一个实施例中应用外网终端访问厂商设备或内网终端的方法的系统架构图;
图1B是另一个实施例中应用外网终端访问厂商设备或内网终端的方法的系统架构图;
图2是一个实施例中外网终端访问厂商设备或内网终端的方法的流程示意图;
图3是另一个实施例中外网终端访问厂商设备或内网终端的方法的流程示意图;
图4是一个实施例中外网终端访问厂商设备或内网终端的装置的结构示意图;
图5是另一个实施例中外网终端访问厂商设备或内网终端的装置的结构示意图;
图6是再一个实施例中外网终端访问厂商设备或内网终端的装置的结构示意图;
图7是又一个实施例中外网终端访问厂商设备或内网终端的装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用于解释本发明,并不用于限定本发明。
本发明实施例提供的外网终端访问厂商设备或内网终端的方法可应用于图1A所示的系统中,如图1A所示,厂商设备110运行于内网中,通过网络地址转换设备NAT连接到运行于外网中的服务器120,服务器120利用中转技术将外网终端的访问请求转发给厂商设备110,其中,服务器120既可以是物理服务器又可以是虚拟服务器,具体地,外网终端130通过网络与服务器120进行通信,向服务器120发送连接厂商设备110的第一连接请求,服务器120接收请求后,获取目的IP地址和端口号,并对应生成临时IP地址和端口与外网终端130建立第一连接,服务器120根据目的IP地址和端口号生成第二连接请求,并与厂商设备110之间建立隧道连接,通过隧道连接将第二连接请求发送给厂商设备110,厂商设备110根据第二连接请求中的目的IP地址和端口号与厂商设备110的本地服务端口建立第二连接。外网终端130通过第一连接发送访问请求给服务器120,服务器120将该访问请求通过隧道连接发送给厂商设备110,厂商设备110再通过第二连接将访问请求发送给最终的本地服务端口,从而实现外网终端130访问厂商设备110。
进一步的,本发明实施例所提供的外网终端访问厂商设备或内网终端的方法还可应用于如图1B所示的系统中。如图1B所示,内网终端140通过交换机与厂商设备110通信,厂商设备110通过网络地址转换设备NAT将内网终端140的IP地址发送给服务器120,厂商设备110根据第二连接请求中的目的IP地址和端口号与内网终端140建立第二连接。外网终端130通过第一连接发送访问请求给服务器120,服务器120将该访问请求通过隧道连接发送给厂商设备110,厂商设备110再通过第二连接将访问请求发送给内网终端140,从而实现外网终端130访问内网终端140。
如图2所示,在一个实施例中,提供了一种外网终端访问厂商设备或内网终端的方法,所述方法可应用于图1A或图1B的服务器中,包括如下步骤:
步骤206,服务器接收外网终端发送的授权码,对该授权码进行验证。
本实施例中,授权码是在服务器中预先存储的,是根据厂商设备的MAC地址生成的唯一不重复的一组序列号,该授权码可以是由厂商设备向服务器申请生成的,也可以是服务器在与厂商设备建立连接后自动生成的。
本实施例中,外网终端将授权码发送给服务器,服务器根据预先存储的授权码信息验证该授权码是否存在,如果存在则验证通过,否则验证不通过。
步骤208,验证通过后,服务器接收外网终端发送的连接厂商设备或内网终端的第一连接请求,根据第一连接请求获取目的IP地址和目的端口号,并根据目的IP地址和目的端口号分别生成临时IP地址和临时端口,通过临时IP地址和临时端口与外网终端建立第一连接。
本实施例中,服务器预先将授权码和被允许访问的厂商设备或内网终端间作了关联存储。比如授权码SS1对应的是厂商设备1和内网终端1,授权码SS2对应的是厂商设备2。那么,验证授权码SS1后,外网终端可以向服务器申请连接厂商设备1和内网终端1,验证授权码SS2后,外网终端可以向服务器申请连接厂商设备2。
接着,外网终端可以向服务器发送第一连接请求,用以申请连接厂商设备或内网终端。这里,服务器接收该第一连接请求之后,会根据第一连接请求获取目的IP地址和目的端口号,该目的IP地址和目的端口号的作用是,通过连接该目的IP地址和端口号对应的端口,能够连接到外网终端想要访问的厂商设备或内网终端。
同时,服务器会根据该目的IP地址和目的端口号随机生成对应的临时IP地址和临时端口,通过临时IP地址和临时端口与所述外网终端建立第一连接。进一步,服务器会记录目的IP地址和端口号与临时IP地址和临时端口的对应关系。
在一个实施例中,服务器将生成的临时IP地址和临时端口对应的端口号返回给外网终端,外网终端通过发送连接请求至该临时IP地址和端口,与服务器建立第一连接。
现举例对本实施例做解释说明,比如,外网终端向服务器发送第一连接请求,请求连接厂商设备1的端口23,服务器就会获取目的IP地址IP1和目的端口号23,并根据IP1:23对应生成临时IP地址IPX和临时端口XXXX分配给外网终端,让外网终端通过该临时IPX:XXXX连接服务器,外网终端通过IPX:XXXX连接服务器,二者之间建立第一连接。
在另一个实施例中,服务器根据生成的临时IP地址和临时端口直接与外网终端建立第一连接。
进一步,该临时IP地址和端口会在预设时间内失效,即第一连接会在预设时间内断开。
步骤210,服务器与厂商设备建立隧道连接,通过隧道连接发送第二连接请求至厂商设备,第二连接请求携带目的IP地址和目的端口号,使厂商设备根据目的IP地址和目的端口号与厂商设备或内网终端建立第二连接。
本实施例中,服务器会对临时IP地址和端口进行监听,当监听到外网终端连接到临时IP地址和端口,即建立第一连接后,根据目的IP地址和目的端口号生成第二连接请求,并通过与厂商设备预先已建立的连接向厂商设备发送第二连接请求,其中,与厂商设备预先已建立的该连接是由厂商设备主动向服务器发起连接请求进而建立的,进一步,厂商设备是通过一个连接程序向服务器发送连接请求的,该连接程序安装于厂商设备,且该连接程序支持各种协议。服务器和厂商设备之间已经预先设置好加密算法等参数,服务器发送第二连接请求的时候即采用预先设置的加密方法对第二连接请求进行加密传输,即与厂商之间在已有连接之上建立隧道连接,第二连接请求就是通过隧道连接发送给厂商设备的,建立的该隧道连接是逻辑连接。
本实施例中,服务器将与厂商设备之间已建立的连接的连接标识和授权码预先作了关联存储,通过该关联存储,服务器可以找到与该授权码对应的与厂商设备之间已建立的连接。
第二连接请求携带服务器根据第一连接请求获取的目的IP地址和目的端口号,第二连接请求是服务器请求厂商设备连接该目的IP地址和目的端口号对应的端口的。比如服务器根据外网终端发送的第一连接请求获取目的IP地址和目的端口号是IP1:23,则服务器通过隧道连接发送第二连接请求给厂商设备,请求厂商设备连接IP1:23。
厂商设备接收第二连接请求后,会按预先设置的方法对所述请求的内容进行解密,获取目的IP地址和目的端口号,并向目的IP地址和目的端口发送连接请求,与厂商设备或内网终端建立第二连接。
本实施例中,服务器与厂商设备之间已建立好的连接可以是UDP连接,也可以是TCP连接,由于隧道连接是建立在已有安全连接的基础上的,所以可以通过数据校验和乱序重组等形式使UDP连接变得安全,以实现隧道连接的建立,所以本实施例中不限定服务器与厂商设备之间已建立好的连接为某种特定形式的连接。
步骤212,当服务器通过第一连接接收外网终端发送的访问厂商设备或内网终端的请求时,则将该访问请求通过隧道连接转发至厂商设备,使厂商设备再通过第二连接将访问请求转发至厂商设备或内网终端。
本实施例中,服务器会将生成的第一连接、隧道连接分别生成第一连接标识、隧道标识,并记录第一连接标识和隧道标识的对应关系。同时,厂商设备也会记录隧道标识,并将生成的第二连接生成对应的第二连接标识,记录隧道标识与第二连接标识的对应关系。当通过第一连接接收外网终端发送的访问请求时,会通过第一连接标识和隧道标识的对应关系找到对应的隧道连接,并通过该隧道连接将访问请求转发给厂商设备,厂商设备接收隧道连接发送的访问请求后,会根据隧道连接标识与第二连接标识的对应关系,找到第二连接,并将访问请求通过第二连接发送至厂商设备或内网终端。相当于是第一连接、隧道连接和第二连接组成了外网终端访问厂商设备或内网终端的一条连接通道。
本实施例中,通过在外网终端和厂商设备或内网终端之间通过服务器建立第一连接、隧道连接和第二连接这三个逻辑连接,可以在这三个逻辑连接之间进行数据转发实现外网终端访问厂商设备或内网终端,主要操作的执行在服务器,所以不需要企业内部IT管理人员修改NAT设置来增加端口映射,使企业内部IT管理员的操作得到大大的简化。同时,生成的加密隧道可以有效保护一些弱协议的安全性,提高了安全性。
在一个实施例中,外网终端可以向服务器发送多个访问厂商设备或内网终端的第一连接请求,服务器可以根据多个第一连接请求,获取多个目的IP地址和端口号,并根据目的IP地址和端口号对应生成多个临时IP地址和临时端口,根据多个临时IP地址和临时端口与外网终端建立多个第一连接,并与厂商设备建立多条隧道连接,通过多条隧道连接向厂商设备发送多个第二连接请求,厂商设备根据目的IP地址和端口号与厂商设备或内网终端建立多个第二连接,从而形成外网终端访问厂商设备或内网终端的多条连接通道。
如图3所示,在一个实施例中,在服务器接收外网终端发送的授权码,对该授权码进行验证的步骤之前,还包括以下步骤:
步骤202,服务器接收厂商设备发送的授权码申请请求,根据该授权码申请请求生成唯一的授权码。
本实施例中,厂商设备向服务器发送连接请求,二者之间建立连接关系,厂商设备可以通过UDP连接服务器,也可以通过TCP与服务器建立连接,本实施例不局限于某种特定的连接方式,进一步,厂商设备是通过一个连接程序向服务器发送连接请求的,该连接程序安装于厂商设备,且该连接程序支持各种协议。
厂商设备通过建立的连接向服务器发送授权码申请请求,其中该授权码申请请求中包含厂商设备的MAC地址,服务器通过厂商设备的MAC地址及当前时间自动生成唯一授权码,进一步,该授权码是可以是一组文本序列号码,例如0E8F567EC。
步骤204,服务器将该授权码返回给厂商设备,并保持与厂商设备之间的连接。
本实施例中,服务器将该授权码返回给厂商设备,并保持与厂商设备之间的连接。具体地,厂商设备可以在预定时间间隔内向服务器发送心跳包,以检查连接是否断开,如果连接断开,则厂商设备会尝试再次主动连接服务器,通过这种方式来保持与服务器之间的连接。进一步,服务器会对该连接生成连接标识,并将授权码与该连接标识进行关联存储,通过该关联存储,服务器可以找到与该授权码对应的与厂商设备之间的连接。
本实施例中,通过保持厂商设备申请授权码时与服务器之间的连接,使企业内部IT管理人员在申请授权码后就不需要再做任何连接操作,节省了IT管理人员的操作步骤。
在另一个实施例中,服务器将生成的授权码返回给厂商设备,厂商设备接收该授权码之后可以断开与服务器之间的连接,当外网终端需要连接厂商设备或内网终端时,厂商设备可以再主动连接服务器。服务器可以根据厂商设备的MAC地址判断出其申请的授权码,对该连接生成连接标识,并将授权码与该连接标识进行关联存储。
在一个实施例中,服务器接收外网终端发送的连接厂商设备或内网终端的第一连接请求,根据该第一连接请求获取目的IP地址和目的端口号的步骤包括:
服务器接收外网终端发送的连接厂商设备的第一连接请求,从该第一连接请求中获取目的端口号,并自动生成本地回环地址当作该第一连接请求的目的IP地址。
本地回环地址指的是以127开头的地址(127.0.0.1-127.255.255.254),代表设备的虚拟接口,当一台机器上运行的程序需要调用本机上的服务时,可以通过本地回环地址进行访问。
具体地,外网终端向服务器发送连接厂商设备的第一连接请求,服务器接收该请求后,会获取请求中的目的端口号,并自动生成本地回环地址作为第一连接请求的目的IP地址。
本实施例中,本地回环地址可以随机不重复生成,也可以生成固定的一个本地回环地址,如固定生成127.0.0.1作为目的IP地址。
本实施例中,服务器在外网终端需要访问厂商设备的时候,通过生成本地回环地址作为目的IP地址,之后通过隧道连接发送本地回环地址给厂商设备,厂商设备通过连接本地回环地址就可以访问本机的服务端口,以实现外网终端访问厂商设备,同时本地回环地址可以由服务器自动生成,大大简化了企业内部IT管理人员的操作。
在一个实施例中,服务器接收外网终端发送的连接厂商设备或内网终端的第一连接请求,根据该第一连接请求获取目的IP地址和目的端口号的步骤包括:
服务器接收外网终端发送的连接厂商设备的第一连接请求,从该第一连接请求中获取目的端口号,并获取为空的目的IP地址。
本实施例中,厂商设备的初始设置中已经默认设置了当接收为空的目的IP地址时,则厂商设备自动随机获取本地网卡地址,根据获取的本地网卡地址访问目的端口号对应的目的端口,即访问本机的服务端口。
本实施例中,服务器在外网终端需要访问厂商设备的时候,获取为空的目的IP地址,之后通过隧道连接发送空的目的IP地址给厂商设备,厂商设备接收到为空的目的IP地址时,会自动随机获取本地网卡地址,根据获取的本地网卡地址访问本机的服务端口,以实现外网终端访问厂商设备,同时大大简化了企业内部IT管理人员的操作。
在一个实施例中,在服务器接收外网终端发送的连接厂商设备或内网终端的第一连接请求,根据第一连接请求获取目的IP地址和目的端口号的步骤之前,还包括:服务器接收厂商设备发送的内网终端的IP地址,并与授权码进行对应存储。
具体地,在外网终端发出第一连接请求之前,厂商设备会将内网终端的IP地址发送给服务器,服务器会将该内网终端的IP地址与授权码进行对应存储,该对应存储的作用是:外网终端验证授权码通过后,即可获知该内网终端被授权允许通过服务器进行连接。
本实施例中,服务器接收外网终端发送的连接厂商设备或内网终端的第一连接请求,根据该第一连接请求获取目的IP地址和目的端口号的步骤,包括:
服务器接收外网终端发送的连接内网终端的第一连接请求,从第一连接请求中获取目的端口号,并获取存储的内网终端的IP地址当作第一连接请求的目的IP地址。
本实施例中,厂商设备仅需在申请授权码之后将内网终端IP地址发送给服务器即可实现外网终端访问内网终端,使企业内部IT管理人员的操作非常简便。
在一个实施例中,在使厂商设备根据目的IP地址和目的端口号与厂商设备或内网终端建立第二连接的步骤之后还包括注销授权码的步骤,具体步骤包括:服务器接收外网终端发送的授权码注销请求,根据授权码注销请求删除存储的授权码,通知厂商设备断开与服务器之间的连接。
本实施例中,通过外网终端申请注销授权码,来断开厂商设备与服务器之间的连接,进一步大大简化了企业内部IP管理员的操作。
在另一个实施例中,厂商设备可以自己向服务器申请注销授权码,服务器删除授权码之后通知厂商设备,厂商设备断开与服务器之间的连接。
如图4所示,在一个实施例中,提供了一种外网终端访问厂商设备或内网终端的装置,该装置包括:
授权码验证模块406,用于服务器接收外网终端发送的授权码,对该授权码进行验证。
第一连接建立模块408,用于验证通过后,服务器接收外网终端发送的连接厂商设备或内网终端的第一连接请求,根据第一连接请求获取目的IP地址和目的端口号,并根据目的IP地址和目的端口号分别生成临时IP地址和临时端口,通过临时IP地址和临时端口与所述外网终端建立第一连接。
第二连接建立模块410,用于服务器与厂商设备建立隧道连接,通过隧道连接发送第二连接请求至厂商设备,第二连接请求携带目的IP地址和目的端口号,使厂商设备根据目的IP地址和目的端口号与厂商设备或内网终端建立第二连接。
第一连接建立模块408还用于当服务器通过第一连接接收外网终端发送的访问请求时,将访问请求发送给第二连接建立模块410。第二连接建立模块410还用于接收第一连接建立模块408发送的访问请求,并将该访问请求通过隧道连接转发至厂商设备,使厂商设备再通过第二连接将访问请求转发至厂商设备或内网终端。
如图5所示,在一个实施例中,外网终端访问厂商设备或内网终端的装置还包括:
授权码生成模块402,用于服务器接收厂商设备发送的授权码申请请求,根据授权码申请请求生成唯一的授权码,服务器将授权码返回给厂商设备。
连接保持模块404,用于保持与厂商设备之间的连接。
在一个实施例中,第一连接建立模块408还用于服务器接收外网终端发送的连接厂商设备的第一连接请求,从第一连接请求中获取目的端口号,并自动生成本地回环地址当作第一连接请求的目的IP地址。
如图6所示,在一个实施例中,外网终端访问厂商设备或内网终端的装置还包括:
存储模块412,用于服务器接收厂商设备发送的内网终端的IP地址,并与授权码进行对应存储。
本实施例中,第一连接建立模块408还用于服务器接收外网终端发送的连接内网终端的第一连接请求,从第一连接请求中获取目的端口号,并获取存储的内网终端的IP地址当作第一连接请求的目的IP地址。
如图7所示,在一个实施例中,外网终端访问厂商设备或内网终端的装置还包括:
授权码注销模块414,用于服务器接收外网终端发送的授权码注销请求,根据授权码注销请求删除存储的授权码,通知厂商设备断开与服务器之间的连接。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种外网终端访问厂商设备或内网终端的方法,所述方法包括:
服务器接收外网终端发送的授权码,对所述授权码进行验证;
所述验证通过后,所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号,并根据所述目的IP地址和目的端口号分别生成临时IP地址和临时端口,通过所述临时IP地址和临时端口与所述外网终端建立第一连接;
所述服务器与厂商设备建立隧道连接,通过所述隧道连接发送第二连接请求至所述厂商设备,所述第二连接请求携带所述目的IP地址和目的端口号,使所述厂商设备根据所述目的IP地址和目的端口号与所述厂商设备或所述内网终端建立第二连接;
当所述服务器通过所述第一连接接收所述外网终端发送的访问请求时,将所述访问请求通过所述隧道连接转发至所述厂商设备,使所述厂商设备再通过所述第二连接将所述访问请求转发至所述厂商设备或所述内网终端。
2.根据权利要求1所述的方法,其特征在于,在所述服务器接收外网终端发送的授权码,对所述授权码进行验证的步骤之前,还包括:
所述服务器接收所述厂商设备发送的授权码申请请求,根据所述授权码申请请求生成唯一的授权码;
所述服务器将所述授权码返回给所述厂商设备,并保持与所述厂商设备之间的连接。
3.根据权利要求1所述的方法,其特征在于,所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号的步骤,包括:
所述服务器接收所述外网终端发送的连接所述厂商设备的第一连接请求,从所述第一连接请求中获取目的端口号,并自动生成本地回环地址当作所述第一连接请求的目的IP地址。
4.根据权利要求1所述的方法,其特征在于,在所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号的步骤之前,还包括:所述服务器接收所述厂商设备发送的所述内网终端的IP地址,并与所述授权码进行对应存储;
所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号的步骤,包括:
所述服务器接收所述外网终端发送的连接所述内网终端的第一连接请求,从所述第一连接请求中获取目的端口号,并获取存储的所述内网终端的IP地址当作所述第一连接请求的目的IP地址。
5.根据权利要求1所述的方法,其特征在于,在所述使所述厂商设备根据所述目的IP地址和目的端口号与所述厂商设备或所述内网终端建立第二连接的步骤之后,还包括:
所述服务器接收所述外网终端发送的授权码注销请求,根据所述授权码注销请求删除存储的所述授权码,通知所述厂商设备断开与所述服务器之间的连接。
6.一种外网终端访问厂商设备或内网终端的装置,其特征在于,所述装置包括:
授权码验证模块,用于服务器接收外网终端发送的授权码,对所述授权码进行验证;
第一连接建立模块,用于所述验证通过后,所述服务器接收所述外网终端发送的连接厂商设备或内网终端的第一连接请求,根据所述第一连接请求获取目的IP地址和目的端口号,并根据所述目的IP地址和目的端口号分别生成临时IP地址和临时端口,通过所述临时IP地址和临时端口与所述外网终端建立第一连接;
第二连接建立模块,用于所述服务器与厂商设备建立隧道连接,通过所述隧道连接发送第二连接请求至所述厂商设备,所述第二连接请求携带所述目的IP地址和目的端口号,使所述厂商设备根据所述目的IP地址和目的端口号与所述厂商设备或所述内网终端建立第二连接;
所述第一连接建立模块还用于当所述服务器通过所述第一连接接收所述外网终端发送的访问请求时,将所述访问请求发送给所述第二连接建立模块;
所述第二连接建立模块还用于接收所述第一连接建立模块发送的访问请求,并将所述访问请求通过所述隧道连接转发至所述厂商设备,使所述厂商设备再通过所述第二连接将所述访问请求转发至所述厂商设备或所述内网终端。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
授权码生成模块,用于所述服务器接收所述厂商设备发送的授权码申请请求,根据所述授权码申请请求生成唯一的授权码,所述服务器将所述授权码返回给所述厂商设备;
连接保持模块,用于保持与所述厂商设备之间的连接。
8.根据权利要求6所述的装置,其特征在于,所述第一连接建立模块还用于所述服务器接收所述外网终端发送的连接所述厂商设备的第一连接请求,从所述第一连接请求中获取目的端口号,并自动生成本地回环地址当作所述第一连接请求的目的IP地址。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
存储模块,用于所述服务器接收所述厂商设备发送的所述内网终端的IP地址,并与所述授权码进行对应存储;
所述第一连接建立模块还用于所述服务器接收所述外网终端发送的连接所述内网终端的第一连接请求,从所述第一连接请求中获取目的端口号,并获取存储的所述内网终端的IP地址当作所述第一连接请求的目的IP地址。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
授权码注销模块,用于所述服务器接收所述外网终端发送的授权码注销请求,根据所述授权码注销请求删除存储的所述授权码,通知所述厂商设备断开与所述服务器之间的连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510593817.9A CN105162787B (zh) | 2015-09-17 | 2015-09-17 | 外网终端访问厂商设备或内网终端的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510593817.9A CN105162787B (zh) | 2015-09-17 | 2015-09-17 | 外网终端访问厂商设备或内网终端的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105162787A true CN105162787A (zh) | 2015-12-16 |
| CN105162787B CN105162787B (zh) | 2018-07-20 |
Family
ID=54803541
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510593817.9A Active CN105162787B (zh) | 2015-09-17 | 2015-09-17 | 外网终端访问厂商设备或内网终端的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105162787B (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791005A (zh) * | 2016-02-25 | 2016-07-20 | 深圳市共进电子股份有限公司 | 基于tcp连接实现远程运维管理的方法和装置 |
| CN107026903A (zh) * | 2017-03-22 | 2017-08-08 | 阔地教育科技有限公司 | 一种安全通信方法及系统 |
| CN107770297A (zh) * | 2017-09-28 | 2018-03-06 | 上海斐讯数据通信技术有限公司 | 一种路由器以及路由器的应用方法和系统 |
| CN108600204A (zh) * | 2018-04-11 | 2018-09-28 | 浙江大学 | 一种基于反向连接和应用层隧道的企业内网访问方法 |
| CN109040334A (zh) * | 2018-07-12 | 2018-12-18 | 山东师范大学 | 静态的内网映射方法、外网服务器、内网通信设备及系统 |
| CN109327414A (zh) * | 2017-07-31 | 2019-02-12 | 厦门朗视信息科技有限公司 | 一种快速安全的外网访问局域网ip-pbx设备的方法 |
| CN110278192A (zh) * | 2019-05-20 | 2019-09-24 | 平安科技(深圳)有限公司 | 外网访问内网的方法、装置、计算机设备及可读存储介质 |
| CN110838957A (zh) * | 2019-11-27 | 2020-02-25 | 深圳开思时代科技有限公司 | 基于服务器的api接口调试方法 |
| CN111756777A (zh) * | 2020-08-28 | 2020-10-09 | 腾讯科技(深圳)有限公司 | 数据传输方法、数据处理设备、装置及计算机存储介质 |
| CN111818100A (zh) * | 2020-09-04 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 一种跨网配置通道的方法、相关设备及存储介质 |
| CN112073494A (zh) * | 2020-08-31 | 2020-12-11 | 成都新潮传媒集团有限公司 | 建立连接的方法、装置及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102340650A (zh) * | 2010-07-19 | 2012-02-01 | 中国移动通信集团公司 | 终端视频监控的方法及系统 |
| CN102811174A (zh) * | 2012-07-30 | 2012-12-05 | 浙江宇视科技有限公司 | 一种监控业务处理方法和nvr |
| CN104270609A (zh) * | 2014-10-09 | 2015-01-07 | 深圳市中控生物识别技术有限公司 | 一种远程监控的方法、系统及装置 |
| CN104506405A (zh) * | 2014-12-23 | 2015-04-08 | 浙江宇视科技有限公司 | 跨域访问的方法及装置 |
-
2015
- 2015-09-17 CN CN201510593817.9A patent/CN105162787B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102340650A (zh) * | 2010-07-19 | 2012-02-01 | 中国移动通信集团公司 | 终端视频监控的方法及系统 |
| CN102811174A (zh) * | 2012-07-30 | 2012-12-05 | 浙江宇视科技有限公司 | 一种监控业务处理方法和nvr |
| CN104270609A (zh) * | 2014-10-09 | 2015-01-07 | 深圳市中控生物识别技术有限公司 | 一种远程监控的方法、系统及装置 |
| CN104506405A (zh) * | 2014-12-23 | 2015-04-08 | 浙江宇视科技有限公司 | 跨域访问的方法及装置 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791005A (zh) * | 2016-02-25 | 2016-07-20 | 深圳市共进电子股份有限公司 | 基于tcp连接实现远程运维管理的方法和装置 |
| CN107026903A (zh) * | 2017-03-22 | 2017-08-08 | 阔地教育科技有限公司 | 一种安全通信方法及系统 |
| CN109327414A (zh) * | 2017-07-31 | 2019-02-12 | 厦门朗视信息科技有限公司 | 一种快速安全的外网访问局域网ip-pbx设备的方法 |
| CN107770297A (zh) * | 2017-09-28 | 2018-03-06 | 上海斐讯数据通信技术有限公司 | 一种路由器以及路由器的应用方法和系统 |
| CN108600204A (zh) * | 2018-04-11 | 2018-09-28 | 浙江大学 | 一种基于反向连接和应用层隧道的企业内网访问方法 |
| CN109040334A (zh) * | 2018-07-12 | 2018-12-18 | 山东师范大学 | 静态的内网映射方法、外网服务器、内网通信设备及系统 |
| CN110278192A (zh) * | 2019-05-20 | 2019-09-24 | 平安科技(深圳)有限公司 | 外网访问内网的方法、装置、计算机设备及可读存储介质 |
| CN110278192B (zh) * | 2019-05-20 | 2022-10-25 | 平安科技(深圳)有限公司 | 外网访问内网的方法、装置、计算机设备及可读存储介质 |
| CN110838957A (zh) * | 2019-11-27 | 2020-02-25 | 深圳开思时代科技有限公司 | 基于服务器的api接口调试方法 |
| CN111756777A (zh) * | 2020-08-28 | 2020-10-09 | 腾讯科技(深圳)有限公司 | 数据传输方法、数据处理设备、装置及计算机存储介质 |
| CN111756777B (zh) * | 2020-08-28 | 2020-11-17 | 腾讯科技(深圳)有限公司 | 数据传输方法、数据处理设备、装置及计算机存储介质 |
| CN112073494A (zh) * | 2020-08-31 | 2020-12-11 | 成都新潮传媒集团有限公司 | 建立连接的方法、装置及存储介质 |
| CN111818100A (zh) * | 2020-09-04 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 一种跨网配置通道的方法、相关设备及存储介质 |
| CN111818100B (zh) * | 2020-09-04 | 2021-02-02 | 腾讯科技(深圳)有限公司 | 一种跨网配置通道的方法、相关设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105162787B (zh) | 2018-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105162787A (zh) | 外网终端访问厂商设备或内网终端的方法和装置 | |
| Fan et al. | Security analysis of zigbee | |
| CN103236941B (zh) | 一种链路发现方法和装置 | |
| CN102377629B (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| CN103297437B (zh) | 一种移动智能终端安全访问服务器的方法 | |
| CN107005534A (zh) | 安全连接建立 | |
| CN108990062B (zh) | 智能安全Wi-Fi管理方法和系统 | |
| CN104168173A (zh) | 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统 | |
| US20070086462A1 (en) | Dynamic tunnel construction method for securely accessing to a private LAN and apparatus therefor | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN103974248A (zh) | 在能力开放系统中的终端安全性保护方法、装置及系统 | |
| CN111988328A (zh) | 一种新能源厂站发电单元采集终端数据安全保障方法及系统 | |
| CN106169952A (zh) | 一种英特网密钥管理协议重协商的认证方法及装置 | |
| CN108881127A (zh) | 一种控制远程访问权限的方法及系统 | |
| CN106027387B (zh) | 一种语音业务的处理方法、网关设备及系统 | |
| CN102883265B (zh) | 接入用户的位置信息发送和接收方法、设备及系统 | |
| CN102916982A (zh) | 一种网络设备身份认证方法 | |
| CN110505221A (zh) | 服务器检测方法、装置、计算机设备和存储介质 | |
| CN114301967B (zh) | 窄带物联网控制方法、装置及设备 | |
| CN103188266B (zh) | 一种基于ezvpn的地址分配回收动态控制方法和系统 | |
| CN108833612A (zh) | 一种基于arp协议的局域网设备的联通方法 | |
| CN105262628A (zh) | 基于多运营商链路共享的校园宿舍网管理系统 | |
| CN105391720A (zh) | 用户终端登录方法及装置 | |
| CN110572352A (zh) | 一种智能配网安全接入平台及其实现方法 | |
| Morales-Gonzalez et al. | On Building Automation System security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong. Applicant after: SINFOR Polytron Technologies Inc Address before: 518000 the first floor of A1 building, Nanshan Zhiyuan 1001, Nanshan District Xue Yuan Avenue, Shenzhen, Guangdong. Applicant before: Shenxinfu Electronics Science and Technology Co., Ltd., Shenzhen |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |