CN106131074B - 一种局域网络资源的访问方法和系统 - Google Patents

一种局域网络资源的访问方法和系统 Download PDF

Info

Publication number
CN106131074B
CN106131074B CN201610751117.2A CN201610751117A CN106131074B CN 106131074 B CN106131074 B CN 106131074B CN 201610751117 A CN201610751117 A CN 201610751117A CN 106131074 B CN106131074 B CN 106131074B
Authority
CN
China
Prior art keywords
remote user
local area
area network
proxy gateway
gateway server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610751117.2A
Other languages
English (en)
Other versions
CN106131074A (zh
Inventor
魏华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Pixel Software Technology Co Ltd
Original Assignee
Beijing Pixel Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Pixel Software Technology Co Ltd filed Critical Beijing Pixel Software Technology Co Ltd
Priority to CN201610751117.2A priority Critical patent/CN106131074B/zh
Publication of CN106131074A publication Critical patent/CN106131074A/zh
Application granted granted Critical
Publication of CN106131074B publication Critical patent/CN106131074B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/562Brokering proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种局域网络资源的访问方法和系统,其中方法包括:当远程用户需要访问局域网时,登录代理网关服务器;所述代理网关服务器对所述远程用户进行身份验证;当所述验证通过后,触发所述远程用户在预设的所述远程用户可以访问的局域网资源范围内选择当前需要访问的局域网资源,并根据所选择的局域网资源,建立相应的与所述远程用户的IP地址绑定的端口映射;将所述端口映射对应的外部访问端口通知给所述远程用户;所述远程用户利用所述外部访问端口访问所选择的局域网资源。本发明易于实现且可以确保访问的安全性。

Description

一种局域网络资源的访问方法和系统
技术领域
本发明涉及计算机网络技术,特别是涉及一种局域网络资源的访问方法和系统。
背景技术
目前,企业经常会遇到需要员工或者合作伙伴进行远程办公或者远程访问公司内部网络资源的情况。针对该需求,目前常用的解决方案是引入虚拟专用网络(VPN)技术,建立虚拟专网,一旦用户连入该虚拟专网,就可以象访问局域网一样访问公司内部的所有资源。
现有的比较成熟的解决方案是使用VPN。一旦用户连入VPN,就可以象访问局域网一样访问公司内部的所有资源。
在VPN实现的远程访问方案中,要企业需要向运营商申请VPN资源,VPN服务器部署以及用户添加和修改都相对繁琐。另外,VPN很难限制连入的用户只能访问特定资源(比如指定的内部ip和端口),因为一旦连入VPN,用户就拥有了和VPN服务器一样的内部访问权限。而在VPN服务器上针对不同的用户进行VPN访问权限设置是很麻烦的事情。这样,使得很难对远程用户的访问权限进行控制,进而会对局域网内的资源的安全性造成影响。
由此可见,现有的采用VPN技术实现的远程访问局域网络资源的方案存在成本高、部署繁琐以及对局域网络安全有影响等问题。
发明内容
有鉴于此,本发明的主要目的在于提供一种局域网络资源的访问方法和系统,易于实现且用户的远程访问,并可以确保访问的安全性。
为了达到上述目的,本发明提出的技术方案为:
一种局域网络资源的访问方法,包括:
当远程用户需要访问局域网时,登录代理网关服务器;
所述代理网关服务器对所述远程用户进行身份验证;当所述验证通过后,触发所述远程用户在预设的所述远程用户可以访问的局域网资源范围内选择当前需要访问的局域网资源,并根据所选择的局域网资源,建立相应的与所述远程用户的IP地址绑定的端口映射;将所述端口映射对应的外部访问端口通知给所述远程用户;
所述远程用户利用所述外部访问端口访问所选择的局域网资源。
一种局域网络资源的访问系统,包括:
远程用户终端(浏览器),用于当远程用户需要访问局域网时,通过浏览器登录代理网关服务器;
代理网关服务器,用于远程用户登录代理网关服务器时,对所述远程用户进行身份验证;当所述验证通过后,触发所述远程用户在预设的所述远程用户可以访问的局域网资源范围内选择当前需要访问的局域网资源,并根据所选择的局域网资源,建立相应的与所述远程用户的IP地址绑定的端口映射;将所述端口映射对应的外部访问端口通知给所述远程用户终端,触发所述远程用户利用所述外部访问端口访问所选择的局域网资源。
综上所述,本发明提出的资源访问方法和系统,通过引入代理网关服务器,根据预设的用户可访问局域网资源信息,创建与用户当前IP地址绑定的端口映射,便可以区分用户控制每个用户远程访问局域网资源的范围,并且确保远程访问的安全性,这样,本发明不需要向运营商申请VPN资源,可以有效降低远程访问的成本,易于实现且可以确保访问的安全性。
附图说明
图1为本发明实施例的方法流程示意图;
图2为本发明实施例的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。
本发明的核心思想是:引入代理网关服务器,预先在代理网关服务器上配置可以远程访问的用户以及各远程用户可以访问的局域网络资源;在用户需要远程访问局域网中的资源时,需要向代理网关服务器提出申请,由代理网关服务器对用户的访问权限进行验证,在验证通过后再利用用户当前的IP地址为其创建相应的端口映射,以使得用户可以基于该端口映射去访问局域网中的资源。如此,可以区分用户控制每个用户远程访问局域网资源的范围,并且在进入局域网的环节即可对用户身份进行合法性验证,从而可以确保远程访问的安全性。另外,本发明不需要专门向运营商申请VPN专网资源,且部署和使用上都比较简单,因此,还可以大幅度降低远程访问的成本开销。
图1为本发明实施例方法流程示意图,如图1所示,该局域网络资源的访问方法实施例主要包括:
步骤101、当远程用户需要访问局域网时,登录代理网关服务器。
本步骤中,引入了代理网关服务器,远程用户在需要访问局域网时,需要登录代理网关服务器,这样,后续过程中可以由代理网关服务器对用户的远程访问进行控制,确保访问的安全性,并且可以单独控制管理不同用户的可访问局域网资源范围。
具体地,本步骤中,远程用户可以通过浏览器访问代理网关服务器的登录页面,以实现登录。该登录页面可以利用node.js来搭建。
步骤102、所述代理网关服务器对所述远程用户进行身份验证;当所述验证通过后,触发所述远程用户在预设的所述远程用户可以访问的局域网资源范围内选择当前需要访问的局域网资源,并根据所选择的局域网资源,建立相应的与所述远程用户的IP地址绑定的端口映射;将所述端口映射对应的外部访问端口通知给所述远程用户。
本步骤中,代理网关服务器在远程用户登录时,需要对其身份进行合法性验证,只有在其验证后,才根据预设的各用户可远程访问的局域网资源的配置信息,为该用户建立相应的绑定IP地址的端口映射,从而可以实现对用户访问的局域网资源范围和访问安全的控制,因此可以有效避免现有的VPN实现方案中VPN服务器上针对不同的用户进行IP访问权限设置的复杂性问题。具体地,所述可远程访问的局域网资源的配置信息可以包括局域网资源的内部访问端口号(即内部IP端口号)、内部IP地址和外部访问端口号(即外部IP端口号)。
需要说明的是,这里通过将用户当前登录代理网关服务器时使用的IP地址与所建立的端口映射绑定,即可控制只有使用该IP地址的用户才可以利用该端口映射提供的外部访问端口对所选择的局域网资源进行访问,这样,一方面可以避免局域网的外部端口被没有授权的IP嗅探而导致的非法访问,另一方面,合法用户在不同的地方使用不同IP地址均可以实现对局域网的远程访问,从而可以实现用户远程访问的灵活性。
较佳地,所述代理网关服务器在进行用户身份验证时,可从用户数据服务器中获取用户的验证信息,将该信息与用户当前提供的用户信息进行一致性比较,来确定当前远程用户的合法性,具体地可以采用下述方法对远程用户进行身份验证:
所述代理网关服务器向用户数据服务器请求获取所述远程用户的验证信息,所述验证信息包括用户账号和登录口令;如果所述获取成功并且所获得的验证信息与所述远程用户进行所述登录时输入的验证信息一致,则所述代理网关服务器判定所述验证通过,否则,判定所述验证失败。
进一步的,远程用户可以访问的局域网资源范围信息也可以预先保存在用户数据服务器中,用户数据服务器在向所述代理网关服务器发送所述验证信息的同时,向所述代理网关服务器发送所述远程用户可以访问的局域网资源范围。
在实际应用中,代理网关服务器可以通过网页将远程用户可以访问的局域网资源范围信息显示给远程用户,触发用户在该范围内选择需要访问的资源。另外,代理网关服务器也可以通过网页的方式将所创建的端口映射对应的外部访问端口通知给所述远程用户。
具体地,代理网关服务器利用3.5版本(或更高版本的)Linux内核集成的IP信息包过滤系统(iptables)进行所述端口映射的创建与保存。
步骤102中所述端口映射的具体创建方法为本领域技术人员所掌握,在此不再赘述。
步骤103、所述远程用户利用所述外部访问端口访问所选择的局域网资源。
本步骤中,远程用户利用步骤102中建立的端口映射提供的外部访问端口,便可实现对所选择的局域网资源的访问,即远程用户可以利用其终端设备上的资源访问客户端(如svn客户端、windows远程桌面客户端等等),利用该外部访问端口通过代理网关服务器,对所选择的局域网资源进行访问,具体访问方法为本领域技术人员所掌握,在此不再赘述。
进一步地,代理网关服务器还可以及时将远程用户不使用的端口映射删除,以确保网络资源的安全。具体地,可以采用下述方法实现这一目的:
所述代理网关服务器在监测到所述远程用户结束所述访问时,将所述端口映射删除。
在实际应用中,代理网关服务器可以在监测到所述远程用户关闭代理网关服务器的网页且保持一段时间不再登录后,可以视其结束本次访问,进而删除本次登录创建的端口映射,或者,在监测到远程用户点击了网页上的端口映射删除按键后,删除相应的端口映射。
在上述方案中,通过引入代理网关服务器、预设的用户可访问局域网资源信息以及创建与用户当前IP地址绑定的端口映射,即可以区分用户控制每个用户远程访问局域网资源的范围,并且可以确保远程访问的安全性。
图2为与上述方法对应的一种局域网络资源的访问系统结构示意图,如图2所示,该系统包括:
远程用户终端,用于当远程用户需要访问局域网时,登录代理网关服务器。
代理网关服务器,用于远程用户登录代理网关服务器时,对所述远程用户进行身份验证;当所述验证通过后,触发所述远程用户在预设的所述远程用户可以访问的局域网资源范围内选择当前需要访问的局域网资源,并根据所选择的局域网资源,建立相应的与所述远程用户的IP地址绑定的端口映射;将所述端口映射对应的外部访问端口通知给所述远程用户终端,触发所述远程用户利用所述外部访问端口访问所选择的局域网资源。
较佳地,所述访问系统进一步包括用户数据服务器;
所述代理网关服务器,用于向所述用户数据服务器请求获取所述远程用户的验证信息,所述验证信息包括用户账号和登录口令;如果所述获取成功并且所获得的验证信息与所述远程用户进行所述登录时输入的验证信息一致,则判定所述验证通过,否则,判定所述验证失败。
较佳地,所述用户数据服务器,用于保存所述远程用户可以访问的局域网资源范围;
所述用户数据服务器,用于在向所述代理网关服务器发送所述验证信息时,同时向所述代理网关服务器发送所述远程用户可以访问的局域网资源范围。
较佳地,所述代理网关服务器,用于在监测到所述远程用户结束所述访问时,将所述端口映射删除。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (8)

1.一种局域网络资源的访问方法,其特征在于,包括:
当远程用户需要访问局域网时,登录代理网关服务器;
所述代理网关服务器对所述远程用户进行身份验证;当所述验证通过后,触发所述远程用户在预设的所述远程用户可以访问的局域网资源范围内选择当前需要访问的局域网资源,并根据所选择的局域网资源,建立相应的与所述远程用户的IP地址绑定的端口映射;将所述端口映射对应的外部访问端口通知给所述远程用户;
所述远程用户利用所述外部访问端口访问所选择的局域网资源。
2.根据权利要求1所述的方法,其特征在于,所述代理网关服务器对所述远程用户进行身份验证包括:
所述代理网关服务器向用户数据服务器请求获取所述远程用户的验证信息,所述验证信息包括用户账号和登录口令;
如果所述获取成功并且所获得的验证信息与所述远程用户进行所述登录时输入的验证信息一致,则所述代理网关服务器判定所述验证通过,否则,判定所述验证失败。
3.根据权利要求2所述的方法,其特征在于,所述方法进一步包括:
所述远程用户可以访问的局域网资源范围预先保存在用户数据服务器中;
所述用户数据服务器在向所述代理网关服务器发送所述验证信息时,同时向所述代理网关服务器发送所述远程用户可以访问的局域网资源范围。
4.根据权利要求1所述的方法,其特征在于,所述方法进一步包括:
所述代理网关服务器在监测到所述远程用户结束所述访问时,将所述端口映射删除。
5.一种局域网络资源的访问系统,其特征在于,包括:
远程用户终端(浏览器),用于当远程用户需要访问局域网时,通过浏览器登录代理网关服务器;
代理网关服务器,用于远程用户登录代理网关服务器时,对所述远程用户进行身份验证;当所述验证通过后,触发所述远程用户在预设的所述远程用户可以访问的局域网资源范围内选择当前需要访问的局域网资源,并根据所选择的局域网资源,建立相应的与所述远程用户的IP地址绑定的端口映射;将所述端口映射对应的外部访问端口通知给所述远程用户终端,触发所述远程用户利用所述外部访问端口访问所选择的局域网资源。
6.根据权利要求5所述的系统,其特征在于,所述访问系统进一步包括用户数据服务器;
所述代理网关服务器,用于向所述用户数据服务器请求获取所述远程用户的验证信息,所述验证信息包括用户账号和登录口令;如果所述获取成功并且所获得的验证信息与所述远程用户进行所述登录时输入的验证信息一致,则判定所述验证通过,否则,判定所述验证失败。
7.根据权利要求6所述的系统,其特征在于,所述用户数据服务器,用于保存所述远程用户可以访问的局域网资源范围;
所述用户数据服务器,用于在向所述代理网关服务器发送所述验证信息时,同时向所述代理网关服务器发送所述远程用户可以访问的局域网资源范围。
8.根据权利要求5所述的系统,其特征在于,所述代理网关服务器,用于在监测到所述远程用户结束所述访问时,将所述端口映射删除。
CN201610751117.2A 2016-08-29 2016-08-29 一种局域网络资源的访问方法和系统 Active CN106131074B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610751117.2A CN106131074B (zh) 2016-08-29 2016-08-29 一种局域网络资源的访问方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610751117.2A CN106131074B (zh) 2016-08-29 2016-08-29 一种局域网络资源的访问方法和系统

Publications (2)

Publication Number Publication Date
CN106131074A CN106131074A (zh) 2016-11-16
CN106131074B true CN106131074B (zh) 2020-04-07

Family

ID=57273802

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610751117.2A Active CN106131074B (zh) 2016-08-29 2016-08-29 一种局域网络资源的访问方法和系统

Country Status (1)

Country Link
CN (1) CN106131074B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107154942A (zh) * 2017-05-16 2017-09-12 苏州云屏网络科技有限公司 一种通过第三方服务器提供自动化服务的方法
CN109120722B (zh) * 2018-10-24 2021-12-07 北京计算机技术及应用研究所 一种基于反向代理模式的访问控制方法
CN111159667A (zh) * 2018-11-08 2020-05-15 鸿合科技股份有限公司 一种资源访问方法及装置、电子设备
CN109548022B (zh) * 2019-01-16 2021-07-13 电子科技大学中山学院 一种移动终端用户远程接入本地网络的方法
CN110808992B (zh) * 2019-11-07 2023-03-24 北京绪水互联科技有限公司 一种远程协作的方法、装置及系统
CN114531256A (zh) * 2020-11-03 2022-05-24 阿里巴巴集团控股有限公司 数据通信方法及系统
CN113973006B (zh) * 2021-09-18 2024-07-16 重庆云华科技有限公司 一种内网数据访问管理方法和系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1132089A (ja) * 1997-03-27 1999-02-02 Microcom Syst Inc 中央側呼出し経路指定装置および方法
WO2004003771A1 (en) * 2002-06-28 2004-01-08 Qualcomm Incorporated Data channel resource optimization for devices in a network
CN105592066A (zh) * 2015-11-05 2016-05-18 杭州华三通信技术有限公司 资源访问控制方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101212374A (zh) * 2006-12-29 2008-07-02 北大方正集团有限公司 实现校园网资源远程访问的方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1132089A (ja) * 1997-03-27 1999-02-02 Microcom Syst Inc 中央側呼出し経路指定装置および方法
WO2004003771A1 (en) * 2002-06-28 2004-01-08 Qualcomm Incorporated Data channel resource optimization for devices in a network
CN105592066A (zh) * 2015-11-05 2016-05-18 杭州华三通信技术有限公司 资源访问控制方法及装置

Also Published As

Publication number Publication date
CN106131074A (zh) 2016-11-16

Similar Documents

Publication Publication Date Title
CN106131074B (zh) 一种局域网络资源的访问方法和系统
US9729514B2 (en) Method and system of a secure access gateway
US9344426B2 (en) Accessing enterprise resources while providing denial-of-service attack protection
EP3850817B1 (en) Systems and methods for integrated service discovery for network applications
US9699261B2 (en) Monitoring sessions with a session-specific transient agent
US9240977B2 (en) Techniques for protecting mobile applications
JP6263537B2 (ja) Ldapベースのマルチテナント・インクラウド・アイデンティティ管理システム
EP3633954B1 (en) Providing virtualized private network tunnels
KR20180132868A (ko) 방화벽에 의해 네트워크 장치를 보호하기 위한 시스템 및 방법
CN110324338B (zh) 数据交互方法、装置、堡垒机与计算机可读存储介质
KR20170063795A (ko) 네트워크 디바이스를 보호하기 위한 시스템 및 방법
US20160142914A1 (en) Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access
CN111614673A (zh) 一种基于cas的权限认证系统的工作方法
AU2018206713A1 (en) Multi-tunneling virtual network adapter
US20140122716A1 (en) Virtual private network access control
WO2015131524A1 (zh) 远程访问服务器的方法及web服务器
US11855993B2 (en) Data shield system with multi-factor authentication
CA2912774C (en) Providing single sign-on for wireless devices
US20060190990A1 (en) Method and system for controlling access to a service provided through a network
KR102576357B1 (ko) 제로 트러스트 보안인증 시스템
CN112929388A (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
Cisco Configuring Authentication Proxy
JP6345092B2 (ja) 通信システム
CN114374529A (zh) 资源访问方法、装置、系统、电子设备、介质及程序
Saltzman et al. Active man in the middle attacks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant