CN111212077A - 主机访问系统及方法 - Google Patents
主机访问系统及方法 Download PDFInfo
- Publication number
- CN111212077A CN111212077A CN202010016752.2A CN202010016752A CN111212077A CN 111212077 A CN111212077 A CN 111212077A CN 202010016752 A CN202010016752 A CN 202010016752A CN 111212077 A CN111212077 A CN 111212077A
- Authority
- CN
- China
- Prior art keywords
- host
- access
- server
- client
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/547—Remote procedure calls [RPC]; Web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2209/00—Indexing scheme relating to G06F9/00
- G06F2209/54—Indexing scheme relating to G06F9/54
- G06F2209/544—Remote
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
本发明公开了一种主机访问系统及方法,该主机访问系统包括:客户端、主机集群以及分别与所述客户端和所述主机集群连接的访问服务器,其中:所述客户端,用于向所述访问服务器发送主机访问请求,所述主机访问请求包括:访问通行证以及通行证口令;所述访问服务器,用于根据所述访问通行证以及所述通行证口令对所述主机访问请求进行验证;在验证通过后确定所述访问通行证对应的可访问主机,并建立所述客户端与所述主机集群中的所述可访问主机之间的通信连接。本发明提高了主机中数据的安全性。
Description
技术领域
本发明涉及开发测试技术领域,具体而言,涉及一种主机访问系统及方法。
背景技术
在金融科技开发工作中,大量的项目组和开发人员进行着复杂的开发和测试工作。每个开发中心拥有超过百计的小型机和服务器,这些主机的安全至关重要,它们存放着各种关键的程序代码、业务数据、敏感客户信息等。这些代码、数据和信息流失,可能会带来巨大的经济损失和社会损失。目前开发人员访问主机的渠道很多,凌乱的访问渠道和协议既没有准入措施,也并没有过程监管,甚至许多访问协议处于完全开放的状态,存在较大的安全隐患。
发明内容
本发明为了解决上述背景技术中的至少一个技术问题,提出了一种主机访问系统及方法。
为了实现上述目的,根据本发明的一个方面,提供了一种主机访问系统,该系统包括:客户端、主机集群以及分别与所述客户端和所述主机集群连接的访问服务器,其中:
所述客户端,用于向所述访问服务器发送主机访问请求,所述主机访问请求包括:访问通行证以及通行证口令;
所述访问服务器,用于根据所述访问通行证以及所述通行证口令对所述主机访问请求进行验证;在验证通过后确定所述访问通行证对应的可访问主机,并建立所述客户端与所述主机集群中的所述可访问主机之间的通信连接。
可选的,当所述可访问主机为多个时,所述访问服务器向所述客户端发送主机选择请求信息;所述访问服务器在接收到所述客户端根据所述主机选择请求信息发送的选择结果时,建立所述客户端与所述主机集群中与所述选择结果对应的主机之间的通信连接。
可选的,所述访问服务器采用第一远程访问协议与所述主机集群连接,所述访问服务器采用第二远程访问协议与所述客户端连接。
可选的,所述第一远程访问协议为加密远程访问协议;所述第二远程访问协议为加密远程访问协议或非加密远程访问协议。
可选的,所述主机集群中的各主机上设置有IP访问限制程序,所述IP访问限制程序用于限制仅允许所述访问服务器的IP地址访问所述主机集群中的各主机。
可选的,该主机访问系统还包括:
安全控制平台服务器,用于接收所述访问服务器采集的所述客户端与所述主机集群中的主机之间的通信数据,并根据所述通信数据对所述客户端的远程操作进行监控。
可选的,该主机访问系统还包括:
安全控制平台服务器,用于定期对所述主机集群中的各主机的设备口令进行更新,在更新后生成root口令,并将所述root口令发送到所述访问服务器,以使所述访问服务器根据所述root口令访问所述主机集群中的各主机。
为了实现上述目的,根据本发明的另一方面,提供了一种主机访问方法,该方法包括:
访问服务器接收客户端发送的主机访问请求,其中,所述主机访问请求包括:访问通行证以及通行证口令;
所述访问服务器根据所述访问通行证以及所述通行证口令对所述主机访问请求进行验证;
在验证通过后所述访问服务器确定所述访问通行证对应的可访问主机并建立所述客户端与主机集群中的所述可访问主机之间的通信连接。
可选的,该主机访问方法还包括:
当所述可访问主机为多个时,所述访问服务器向所述客户端发送主机选择请求信息;
所述访问服务器在接收到所述客户端根据所述主机选择请求信息发送的选择结果时,建立所述客户端与所述主机集群中与所述选择结果对应的主机之间的通信连接。
可选的,所述访问服务器采用第一远程访问协议与所述主机集群连接,所述访问服务器采用第二远程访问协议与所述客户端连接。
可选的,所述第一远程访问协议为加密远程访问协议;所述第二远程访问协议为加密远程访问协议或非加密远程访问协议。
可选的,所述主机集群中的各主机上设置有IP访问限制程序,所述IP访问限制程序用于限制仅允许所述访问服务器的IP地址访问所述主机集群中的各主机。
可选的,该主机访问方法还包括:
所述访问服务器采集所述客户端与所述主机集群中的主机之间的通信数据,并将所述通信数据发送到安全控制平台服务器,以使所述安全控制平台服务器根据所述通信数据对所述客户端的远程操作进行监控。
可选的,该主机访问方法还包括:
所述访问服务器接收安全控制平台服务器定期对所述主机集群中的各主机的设备口令进行更新后生成的root口令,并根据所述root口令访问所述主机集群中的各主机。
为了实现上述目的,根据本发明的另一方面,还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述主机访问方法中的步骤。
为了实现上述目的,根据本发明的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序在计算机处理器中执行时实现上述主机访问方法中的步骤。
本发明的有益效果为:本发明通过访问服务器实现客户端与主机之间的通信连接,客户端的各开发操作都必须经过访问服务器才能到达主机。这样通过访问服务器可以实现对客户端连接主机进行管理,对客户端的连接权限进行审核,由此提高了主机数据的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明实施例主机访问系统的示意图;
图2是本发明实施例主机访问方法的第一流程图;
图3是本发明实施例主机访问方法的第二流程图;
图4是本发明实施例主机访问方法的第三流程图;
图5是本发明实施例主机访问方法的第四流程图;
图6是本发明实施例计算机设备示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
图1是本发明实施例主机访问系统的示意图,如图1所示,本发明实施例的主机访问系统包括:客户端、访问服务器、主机集群、安全服务器以及安全控制平台服务器。主机集群中包含多个主机(设备)。访问服务器分别与客户端和主机集群通信连接。安全服务器和安全控制平台服务器分别与访问服务器通信连接。
在本发明实施例中,客户端用于向访问服务器发送主机访问请求,其中,主机访问请求包括:访问通行证以及通行证口令。访问服务器用于根据访问通行证以及所述通行证口令对客户端发送的主机访问请求进行验证;在验证通过后确定访问通行证对应访问权限,即可访问的主机,并建立客户端与主机集群中的所述可访问主机之间的通信连接。
在本发明可选实施例中,当上述可访问主机为多个时,访问服务器还向客户端发送主机选择请求信息;访问服务器在接收到客户端根据所述主机选择请求信息发送的选择结果时,建立客户端与主机集群中与选择结果对应的主机之间的通信连接。
在本发明实施例中,访问服务器的实现思路是要求系统的开发操作都必须经过访问服务器,即客户端与主机间的通信必须经过访问服务器,由此通过访问服务器上的监控预警部件可以实现对所有的远程访问从应用层面进行有效的监视、控制和审计,并通过远程登录许可以及用户的系统口令管理实现远程目标设备的自动转接。
在本发明实施例中,在访问服务器上部署有各种系统远程访问协议的自动转接服务,开发人员使用远程访问协议从客户端连接访问服务器时,访问服务器在经过验证和交互后自动建立到主机集群内的目标主机的远程访问连接,并在客户端和目标主机之间进行数据交换。同时访问服务器可以借助技术手段对交换数据进行还原,获得用户操作内容和界面的真实再现,并利用安全功能部件在应用层面上对操作内容和界面进行提取和分析。
为了在访问服务器能够了解开发人员的身份信息,安全控制平台服务器通过安全服务器对人员身份进行统一管理,为每一个或者一类人员对象发放访问通行证,在访问通行证中登记了人员的身份标识、身份信息和访问目标系统资源(即允许访问的主机)。当操作人员需要对主机进行远程访问时向访问服务器提交访问通行证和通行证口令,访问服务器即可掌握该人员的真实身份,并自动为该用户建立到主机的远程连接(当允许访问多个主机时访问服务器会通过联机交互提示操作人员从中选择一个目标主机)。在操作人员的操作过程中,访问服务器上的安全功能部件可以根据该人员的身份信息和相关设置做出准确判断和及时处理。
在本发明可选实施例中,本发明的访问服务器还具有协议转换的功能。在本发明实施例中,所述访问服务器采用第一远程访问协议与所述主机集群连接,所述访问服务器采用第二远程访问协议与所述客户端连接。其中,所述第一远程访问协议为加密远程访问协议;所述第二远程访问协议为加密远程访问协议或非加密远程访问协议。
如何在主机远程访问时保护密码等敏感信息的安全是一个很重要的问题。虽然新的远程访问协议如ssh、sftp、rdp等,都采用了加密远程访问协议,但是受到传统的远程系统访问方式的制约,在各类Unix系统下最常采用的远程访问协议如telnet、rlogin、ftp等还是采用明文传输方式,这种连接方式为开放系统的安全保障带来了极大的风险。使用一个简单的网络监听工具就能够轻而易举地窃取到包括口令在内的所有的网络传输信息,尤其因为开放系统的开发人员来自各分行、开发中心和公司等不同的地方,通信连接链路结构复杂环节众多,因此通过网络监听方式窃取主机管理员密码变得更加容易。
本发明的访问服务器在提供主机远程访问服务转接的时候充分考虑了开发管理渠道的数据传输安全。访问服务器的服务转接功能不仅仅能够完成数据的传输交换,还可以实现访问协议的转换。因此在开发安全控制平台中,可以通过访问服务器的协议转换有效缓解网络传输中的口令安全问题。
在本发明可选实施例中,访问服务器在转接客户端到主机集群内的主机时可以在两端采用不同的远程访问协议,例如在连接主机时采用telnet协议,连接客户端时则采用ssh协议。安全控制平台服务器默认设置采用加密远程访问协议,但是对于不提供的加密远程访问的主机也可以采用非加密方式的远程访问协议。访问服务器对客户端可以同时提供加密和非加密两种远程访问协议,而对于安全要求较高的应用身份则限制只能采用加密协议,这样一方面可以降低网络传输上的安全风险,另一方面可以照顾长久以来的操作习惯。
本发明的访问服务器可以提供telnet、ssh、ftp、sftp、http、RDP、XWindows、Pcom(tcp转SNA)等协议之上的开发安全访问渠道,并为各种访问渠道提供安全控制管理。在开发安全访问渠道中,完成严格的身份认证、访问控制、全程监管审计,并进行预警和统计分析。
在本发明实施例的主机访问系统还具有IP访问限制设置。在本发明实施例中,主机集群中的各主机上设置有IP访问限制程序,IP访问限制程序用于限制仅允许访问服务器的IP地址访问所述主机集群中的各主机,进一步提高了主机中数据的安全性。
由于本发明的主机访问系统是通过访问服务器对主机集群的开发操作集中控管的,因此为了避免操作人员绕过访问服务器直接访问主机集群内的主机造成开发安全控制平台形同虚设,必须通过技术手段和管理制度上进行限制。首先应该在制度上明确规定除了必须在控制台上完成的操作,其他所有的开发操作必须通过访问服务器完成,其次在技术上封堵住访问服务器以外的所有连接主机集群的访问渠道。
在技术上封堵开发访问渠道可以采取两种手段,其一是通过网络设备或者主机上的防火墙设置访问规则,拒绝所有来自访问服务器以外的访问请求。但是网络设备不能控制同一网段内的网络通信,也不是所有的操作系统上都支持防火墙。因此本发明采用了另一种技术手段,即IP访问限制。
IP访问限制是在通过配置在主机为新收到的连接请求创建连接服务进程之前嵌入一段判断过程,仅当请求来源属于指定的IP或者网段时才允许启动新的服务进程,否则直接拒绝服务连接请求。IP访问限制可以针对不同的远程访问协议设置不同的有效地址来源,即使主机上的系统服务采用的不是标准的通信的端口也不会有损IP访问限制的控制功能。以下为本发明一可选实施例的IP访问限制配置示例。
以上IP访问限制配置示例中,该主机telnet协议采用了1023端口,而不是常规的23端口。在该主机上对ftp和telnet协议设置了访问限制,并且只允许从192.168.12.0/255.255.255.0网段内通过telnet协议访问该主机,而从192.168.12.8则可以采用telnet和ftp协议访问该主机。通过此配置不论访问服务器以何种协议与主机集群通信连接,都能实现IP访问限制。
IP访问限制程序在安装过程中无需重启主机,对主机上已有的应用服务和通信连接没有任何影响,并且对IP地址和网段的配置可以实时生效。IP访问限制的配置文件采用加密格式存放,由安全控制平台服务器统一配置并下发到各主机。
IP访问限制程序和配置文件都是部署在主机上的。由于在主机上不会安装更多的程序实现IP访问限制的运行环境的自我保护,因此需要在IP访问限制模块内部提供一种运行环境检测机制,可以通过某种工具或者手段从外部发起自身检测操作。基于主机的特殊环境的限制,在主机上再安装其他的检测服务程序或者开启检测服务的通信端口都是不现实的。唯一能够响应外部发起的检测操作的途径只能是重用IP访问限制程序的传输通道。主机上的远程访问服务应该能够正确响应来自任何合法地址的客户端的连接请求,而且客户端的程序除了采用了标准的服务通信协议以外是不可能完全统一的。因此IP访问限制程序要能够同时正确处理标准的服务连接请求,也能够响应外部发起的检测操作。
Unix平台下的IP访问限制是在对访问来源的合法性进行判断后将通信连接直接转交给系统服务进程的,如果IP访问限制程序从通信连接上读取了数据那么这些数据将不会传递到系统服务进程中,进而会破坏标准的服务连接协议中的数据完整,导致系统访问的连接不正常。为了避免出现这种情况,IP访问限制程序采用了TCP的带外数据传递检测指令。
在本发明实施例中,在访问服务器上可以在为客户端转接到主机的远程访问连接时,在建立连接后转发客户端的通信数据之前抢先向主机发送检测命令,然后接收主机返回的检测结果进行判断。如果接收的结果与预期不符合则可以通过安全控制平台服务器发送报警信息。
在本发明实施例中,当访问服务器自动转接配置了IP访问限制的目标主机时,会在连接过程中要求目标主机上IP访问限制程序返回配置文件的校验码。如果访问服务器没有接收到校验码则表示IP访问限制功能已经被关闭,如果访问服务器接收到的校验码与预期不符则表示目标主机上的配置文件已经被破坏。当出现以上情况时,访问服务器向安全控制平台服务器发送通知信息,安全控制平台服务器可以根据通知信息及时发出报警信息和记录安全日志。在本发明实施例中,IP访问控制程序能够自动适应客户端的连接过程,能够同时兼容标准的远程系统访问和来自访问服务器带校验的远程系统访问。
由以上描述可以看出,本发明通过IP访问限制并配合密码管理以防止绕过专有访问渠道的控制,确保系统提供的RDP、SSH、SSH2、telnet、ftp、sftp、Xwindow等访问协议只允许通过访问服务器远程访问后台主机,进一步提高了主机数据的安全性。
本发明的主机访问系统还对开发人员的身份进行实名验证以及对各开发人员的权限进行精细化控制。在本发明实施例中,安全控制平台服务器通过安全服务器对开发人员身份进行统一管理,安全控制平台服务器为每一个开发人员生成并发放访问通行证,在访问通行证中登记了人员的身份信息和访问权限(即允许访问的主机),此外安全控制平台服务器还可以对访问通行证中的访问权限进行更改。开发人员的访问通行证以及通行证口令储存在安全服务器中,访问服务器可以从安全服务器中获取各开发人员的访问通行证以及通行证口令,以对开发人员进行身份验证。
目前各系统的开发人员在进行开发操作时身份的认证都是利用操作系统本身的用户认证机制来完成,即仍然采用的是“系统帐户+口令”这一类型的方式。在这种机制下,可能存在不同的开发人员使用相同的系统帐户在设备上进行操作,因此无法准确区分操作行为的执行人。同时由于帐户共享也不可避免地造成了口令共享,这一方面带来了口令维护上的困难,另一方面口令共享大大增加了口令泄漏的风险,在安全上造成了极大的隐患。此外,由于身份的认证采用的是操作系统本身的用户认证机制,对开发人员的权限管理和访问控制都依赖于操作系统自身的处理能力和策略设置,无法在全局范围内采用统一的安全标准和控制方式。而且因为对系统帐户的管理和认证都是分别在开放系统内的各个主机上的,缺乏有效的集中管理手段。
为了解决以上问题,本发明基于开发人员的应用身份而不再是操作系统帐户进行动态口令认证和访问权限控制,并且对应用身份进行统一集中的管理。建立与身份信息唯一对应的访问通行证,实现对真实人员身份而非设备系统帐户的监管。
在本发明实施例中,在客户端与主机进行数据交互时,访问服务器还用于采集客户端与主机集群中的主机之间的通信数据,并将通信数据发送到安全控制平台服务器,进而安全控制平台服务器根据通信数据对所述客户端的远程操作进行实时监控。
在本发明实施例中,安全控制平台服务器可对开发人员访问主机后的所有操作行为进行实时的监视与控制。系统管理人员在安全控制平台服务器的综合控制台上可以随时查看当前所有通过访问服务器与主机建立连接的操作人员访问记录,选择指定的访问记录可以查看该人员的当前操作情况。如果客户端以telnet、ssh、rdp等远程终端访问方式登录到主机上执行操作,在综合控制台可以看到该操作人员操作客户端的终端画面,操作人员在操作过程中造成的终端画面变化情况都会实时反应到安全控制平台服务器的监控子窗口中。如果操作人员采用通过客户端对主机执行远程操作,在主机上并没有分配虚终端,例如ftp访问,则可以查看到此次连接过程中所有该操作人员向主机发送的命令以及主机返回的响应信息的记录。
在本发明实施例中,安全控制平台服务器可以实时操作监控远程访问的人员访问情况、访问协议、通行证账号、工作目的、人员身份、主机访问状态及现场操作内容。在获得足够权限的前提下,安全控制平台服务器的系统管理员可以在综合控制台上对开发人员对开放系统主机的远程操作行为进行控制,如锁定/解锁终端、接管终端、强行终止连接等。
在本发明可选实施例中,主机集群中各主机具有设备口令,安全控制平台服务器还用于对设备口令进行综合管理。在本发明实施例中,安全控制平台服务器定期对主机集群中的各主机的设备口令进行更新,在更新后生成root口令,并将所述root口令发送到所述访问服务器。访问服务器可以根据所述root口令访问所述主机集群中的各主机。
在本发明实施例中,按照安全管理规定,各主机的设备口令必须定期修改并在一段时间内不得重复,设备口令自身也必须达到一定的强度要求,不得保存在未妥善保存的纸质材料或者安全保护薄弱的计算机内。然而由于对口令持有人的要求较高,此类规定在贯彻执行中存在一定的困难,需要从制度和技术两方面进行控制。目前在技术上可采用的主要手段是在设备上设置口令的安全策略,由设备的操作系统进行判断和控制。但是由于开放系统内的设备数量众多,在具体实施上有很大的工作量,在口令检查方面受到操作系统的限制不可能做得很灵活,此外还缺乏统一管理的手段。
本发明系统可以通过安全控制平台服务器对各主机的设备口令进行统一管理,可以按照安全级别和开发需求实现灵活的控制策略,也无需在各主机上再做设置,实现设备口令的安全存储、变更控制以及在服务转接过程中自动登录设备。
在本发明实施例中,安全控制平台服务器自动按照口令管理规范对各主机的设备口令进行维护和更新,主机的开发人员也不知道各主机的真实设备口令,只需掌握自己的访问通行证和通行证口令即可通过访问服务器登录后台主机,从而进一步地保障了主机集群内的主机安全。设备口令管理能有效提高设备口令强度、缩小知悉范围,同时减少安全管理员口令管理工作量。优化人员管理效率,节省时间。
由以上描述可以看出,本发明的主机访问系统在保障安全稳定的基础上,使用技术手段解决现有开发测试中的安全问题,实现了至少如下有益效果:
1、监管开发过程。对所有访问主机的工作人员,进行全面行为监管。对任何人员对主机、服务器的各种操作都能够完全进行控制,并能事后回放、重现和检索,以最大限度地减少恶意行为,达到进行责任追溯,不可抵赖。
2、精细化开发权限。采用强制技术通行证管理,对于所有访问的人员核发访问通行证,限定进入系统的身份、可登录的主机、工作时间、工作内容、合法登录的节点地址,一旦其操作超出通行证权限范围以外,立即自动终止并进行报警。对于关键性操作,只有获得授权审批后才能够进行。
3、限定访问范围。对不同项目的开发主机、技术资产和开发环境进行范围限定,通过技术手段限定每个人员访问的开发主机的范围。
4、加固访问渠道。对访问主机的远程登录、文件交换等常用协议如telnet、ftp、http、rdp、xwindows、ssh等进行安全加固,提供深层次的监管,确保访问渠道和协议的安全性。
5、事后分析审计。一方面提供责任证据,另一方面可以及时地了解开发人员工作状况,提高开发测试工作效率。
6、自动管理主机设备口令。提供合乎审计规则的自动设备口令管理机制,一方面加强设备口令管理强度,控制设备口令知悉范围,另一方面减轻维护人员的管理工作量。
7、异常预警通知。可以设定各种规则,提供屏幕、声音、短信等多种报警方式,使管理人员能及时发现和报告各种异常访问情况。
基于同一发明构思,本发明实施例还提供了一种主机访问方法,如下面的实施例所述。由于主机访问方法解决问题的原理与主机访问系统相似,因此主机访问方法的实施例可以参见主机访问系统的实施例,重复之处不再赘述。
图2是本发明实施例主机访问方法的第一流程图,如图2所示,本实施例的主机访问方法包括步骤S101至步骤S103。
步骤S101,访问服务器接收客户端发送的主机访问请求,其中,所述主机访问请求包括:访问通行证以及通行证口令。
步骤S102,所述访问服务器根据所述访问通行证以及所述通行证口令对所述主机访问请求进行验证。
步骤S103,在验证通过后所述访问服务器确定所述访问通行证对应的可访问主机并建立所述客户端与主机集群中的所述可访问主机之间的通信连接。
图3是本发明实施例主机访问方法的第二流程图,如图3所示,本实施例的主机访问方法包括步骤S201至步骤S202。
步骤S201,当所述可访问主机为多个时,所述访问服务器向所述客户端发送主机选择请求信息。
步骤S202,所述访问服务器在接收到所述客户端根据所述主机选择请求信息发送的选择结果时,建立所述客户端与所述主机集群中与所述选择结果对应的主机之间的通信连接。
在本发明可选实施例中,所述访问服务器采用第一远程访问协议与所述主机集群连接,所述访问服务器采用第二远程访问协议与所述客户端连接。
在本发明可选实施例中,所述第一远程访问协议为加密远程访问协议;所述第二远程访问协议为加密远程访问协议或非加密远程访问协议。
在本发明可选实施例中,所述主机集群中的各主机上设置有IP访问限制程序,所述IP访问限制程序用于限制仅允许所述访问服务器的IP地址访问所述主机集群中的各主机。
图4是本发明实施例主机访问方法的第三流程图,如图4所示,本实施例的主机访问方法包括步骤S301至步骤S302。
步骤S301,所述访问服务器采集所述客户端与所述主机集群中的主机之间的通信数据,并将所述通信数据发送到安全控制平台服务器。
步骤S302,所述安全控制平台服务器根据所述通信数据对所述客户端的远程操作进行监控。
图5是本发明实施例主机访问方法的第四流程图,如图5所示,本实施例的主机访问方法包括步骤S401至步骤S402。
步骤S401,安全控制平台服务器定期对所述主机集群中的各主机的设备口令进行更新,在更新后生成root口令,并将所述root口令发送到所述访问服务器。
步骤S402,所述访问服务器根据所述root口令访问所述主机集群中的各主机。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
为了实现上述目的,根据本申请的另一方面,还提供了一种计算机设备。如图6所示,该计算机设备包括存储器、处理器、通信接口以及通信总线,在存储器上存储有可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例方法中的步骤。
处理器可以为中央处理器(Central Processing Unit,CPU)。处理器还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及单元,如本发明上述方法实施例中对应的程序单元。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及作品数据处理,即实现上述方法实施例中的方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个单元存储在所述存储器中,当被所述处理器执行时,执行上述实施例中的方法。
上述计算机设备具体细节可以对应参阅上述实施例中对应的相关描述和效果进行理解,此处不再赘述。
为了实现上述目的,根据本申请的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序在计算机处理器中执行时实现上述主机访问方法中的步骤。本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(RandomAccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (16)
1.一种主机访问系统,其特征在于,包括:客户端、主机集群以及分别与所述客户端和所述主机集群连接的访问服务器,其中:
所述客户端,用于向所述访问服务器发送主机访问请求,所述主机访问请求包括:访问通行证以及通行证口令;
所述访问服务器,用于根据所述访问通行证以及所述通行证口令对所述主机访问请求进行验证;在验证通过后确定所述访问通行证对应的可访问主机,并建立所述客户端与所述主机集群中的所述可访问主机之间的通信连接。
2.根据权利要求1所述的主机访问系统,其特征在于,当所述可访问主机为多个时,所述访问服务器向所述客户端发送主机选择请求信息;所述访问服务器在接收到所述客户端根据所述主机选择请求信息发送的选择结果时,建立所述客户端与所述主机集群中与所述选择结果对应的主机之间的通信连接。
3.根据权利要求1所述的主机访问系统,其特征在于,所述访问服务器采用第一远程访问协议与所述主机集群连接,所述访问服务器采用第二远程访问协议与所述客户端连接。
4.根据权利要求3所述的主机访问系统,其特征在于,所述第一远程访问协议为加密远程访问协议;所述第二远程访问协议为加密远程访问协议或非加密远程访问协议。
5.根据权利要求1所述的主机访问系统,其特征在于,所述主机集群中的各主机上设置有IP访问限制程序,所述IP访问限制程序用于限制仅允许所述访问服务器的IP地址访问所述主机集群中的各主机。
6.根据权利要求1所述的主机访问系统,其特征在于,还包括:
安全控制平台服务器,用于接收所述访问服务器采集的所述客户端与所述主机集群中的主机之间的通信数据,并根据所述通信数据对所述客户端的远程操作进行监控。
7.根据权利要求1所述的主机访问系统,其特征在于,还包括:
安全控制平台服务器,用于定期对所述主机集群中的各主机的设备口令进行更新,在更新后生成root口令,并将所述root口令发送到所述访问服务器,以使所述访问服务器根据所述root口令访问所述主机集群中的各主机。
8.一种主机访问方法,其特征在于,包括:
访问服务器接收客户端发送的主机访问请求,其中,所述主机访问请求包括:访问通行证以及通行证口令;
所述访问服务器根据所述访问通行证以及所述通行证口令对所述主机访问请求进行验证;
在验证通过后所述访问服务器确定所述访问通行证对应的可访问主机并建立所述客户端与主机集群中的所述可访问主机之间的通信连接。
9.根据权利要求8所述的主机访问方法,其特征在于,还包括:
当所述可访问主机为多个时,所述访问服务器向所述客户端发送主机选择请求信息;
所述访问服务器在接收到所述客户端根据所述主机选择请求信息发送的选择结果时,建立所述客户端与所述主机集群中与所述选择结果对应的主机之间的通信连接。
10.根据权利要求8所述的主机访问方法,其特征在于,所述访问服务器采用第一远程访问协议与所述主机集群连接,所述访问服务器采用第二远程访问协议与所述客户端连接。
11.根据权利要求10所述的主机访问方法,其特征在于,所述第一远程访问协议为加密远程访问协议;所述第二远程访问协议为加密远程访问协议或非加密远程访问协议。
12.根据权利要求8所述的主机访问方法,其特征在于,所述主机集群中的各主机上设置有IP访问限制程序,所述IP访问限制程序用于限制仅允许所述访问服务器的IP地址访问所述主机集群中的各主机。
13.根据权利要求8所述的主机访问方法,其特征在于,还包括:
所述访问服务器采集所述客户端与所述主机集群中的主机之间的通信数据,并将所述通信数据发送到安全控制平台服务器,以使所述安全控制平台服务器根据所述通信数据对所述客户端的远程操作进行监控。
14.根据权利要求8所述的主机访问方法,其特征在于,还包括:
所述访问服务器接收安全控制平台服务器定期对所述主机集群中的各主机的设备口令进行更新后生成的root口令,并根据所述root口令访问所述主机集群中的各主机。
15.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求8至14任一项所述的方法。
16.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序在计算机处理器中执行时实现如权利要求8至14任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010016752.2A CN111212077B (zh) | 2020-01-08 | 2020-01-08 | 主机访问系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010016752.2A CN111212077B (zh) | 2020-01-08 | 2020-01-08 | 主机访问系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111212077A true CN111212077A (zh) | 2020-05-29 |
| CN111212077B CN111212077B (zh) | 2022-07-05 |
Family
ID=70789002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010016752.2A Active CN111212077B (zh) | 2020-01-08 | 2020-01-08 | 主机访问系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111212077B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087427A (zh) * | 2020-08-03 | 2020-12-15 | 飞诺门阵(北京)科技有限公司 | 通信验证方法、电子设备及存储介质 |
| CN113360882A (zh) * | 2021-05-27 | 2021-09-07 | 北京百度网讯科技有限公司 | 集群访问方法、装置、电子设备和介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
| US20140317180A1 (en) * | 2011-11-03 | 2014-10-23 | Telefonaktiebolaget L M Ericsson (Publ) | Method, Device and Central Server for Providing Service for LDAP Client |
| CN105491001A (zh) * | 2015-05-14 | 2016-04-13 | 瑞数信息技术(上海)有限公司 | 一种安全通讯方法和装置 |
| CN106031118A (zh) * | 2013-11-11 | 2016-10-12 | 阿道罗姆股份有限公司 | 云服务安全中介和代理 |
| CN106487774A (zh) * | 2015-09-01 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 一种云主机服务权限控制方法、装置和系统 |
| CN107005547A (zh) * | 2014-09-30 | 2017-08-01 | 思杰系统有限公司 | 用于由中间装置执行对于客户机的远程桌面会话的单点登录的系统和方法 |
| CN107277049A (zh) * | 2017-07-27 | 2017-10-20 | 郑州云海信息技术有限公司 | 一种应用系统的访问方法及装置 |
-
2020
- 2020-01-08 CN CN202010016752.2A patent/CN111212077B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101064717A (zh) * | 2006-04-26 | 2007-10-31 | 北京华科广通信息技术有限公司 | 信息系统或设备的安全防护系统及其工作方法 |
| US20140317180A1 (en) * | 2011-11-03 | 2014-10-23 | Telefonaktiebolaget L M Ericsson (Publ) | Method, Device and Central Server for Providing Service for LDAP Client |
| CN106031118A (zh) * | 2013-11-11 | 2016-10-12 | 阿道罗姆股份有限公司 | 云服务安全中介和代理 |
| CN107005547A (zh) * | 2014-09-30 | 2017-08-01 | 思杰系统有限公司 | 用于由中间装置执行对于客户机的远程桌面会话的单点登录的系统和方法 |
| CN105491001A (zh) * | 2015-05-14 | 2016-04-13 | 瑞数信息技术(上海)有限公司 | 一种安全通讯方法和装置 |
| CN106487774A (zh) * | 2015-09-01 | 2017-03-08 | 阿里巴巴集团控股有限公司 | 一种云主机服务权限控制方法、装置和系统 |
| CN107277049A (zh) * | 2017-07-27 | 2017-10-20 | 郑州云海信息技术有限公司 | 一种应用系统的访问方法及装置 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112087427A (zh) * | 2020-08-03 | 2020-12-15 | 飞诺门阵(北京)科技有限公司 | 通信验证方法、电子设备及存储介质 |
| CN112087427B (zh) * | 2020-08-03 | 2022-09-30 | 飞诺门阵(北京)科技有限公司 | 通信验证方法、电子设备及存储介质 |
| CN113360882A (zh) * | 2021-05-27 | 2021-09-07 | 北京百度网讯科技有限公司 | 集群访问方法、装置、电子设备和介质 |
| WO2022247359A1 (zh) * | 2021-05-27 | 2022-12-01 | 北京百度网讯科技有限公司 | 集群访问方法、装置、电子设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111212077B (zh) | 2022-07-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111082940B (zh) | 物联网设备控制方法、装置及计算设备、存储介质 | |
| US7788366B2 (en) | Centralized network control | |
| US20190207771A1 (en) | Detecting compromised cloud-identity access information | |
| US10164982B1 (en) | Actively identifying and neutralizing network hot spots | |
| US11750618B1 (en) | System and method for retrieval and analysis of operational data from customer, cloud-hosted virtual resources | |
| CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
| US11481478B2 (en) | Anomalous user session detector | |
| JP2022530288A (ja) | rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム | |
| EP3884405B1 (en) | Secure count in cloud computing networks | |
| CN111212077B (zh) | 主机访问系统及方法 | |
| US10848491B2 (en) | Automatically detecting a violation in a privileged access session | |
| Söderström et al. | Secure audit log management | |
| US20210243206A1 (en) | Detection of security intrusion in a computing system | |
| Wu et al. | Public cloud security protection research | |
| CN108347411B (zh) | 一种统一安全保障方法、防火墙系统、设备及存储介质 | |
| CN105120010A (zh) | 一种云环境下虚拟机防窃取方法 | |
| CN114978697A (zh) | 一种网络信息系统内生安全防御方法、装置、设备及介质 | |
| CN114500039A (zh) | 基于安全管控的指令下发方法及系统 | |
| CN113608907A (zh) | 数据库审计方法、装置、设备、系统及存储介质 | |
| KR20100067383A (ko) | 서버 보안 시스템 및 서버 보안 방법 | |
| KR102636628B1 (ko) | 보안 적합성 검증을 위한 방법 및 그에 대한 장치 | |
| KR20190067046A (ko) | 보안 오케스트레이션 시스템 | |
| US20220311777A1 (en) | Hardening remote administrator access | |
| RU2648942C1 (ru) | Система защиты информации от несанкционированного доступа | |
| CN107295013B (zh) | 一种vdi通信的方法、第一服务器、第二服务器及通信系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220927 Address after: 12 / F, 15 / F, 99 Yincheng Road, Pudong New Area pilot Free Trade Zone, Shanghai, 200120 Patentee after: Jianxin Financial Science and Technology Co.,Ltd. Address before: 25 Financial Street, Xicheng District, Beijing 100033 Patentee before: CHINA CONSTRUCTION BANK Corp. Patentee before: Jianxin Financial Science and Technology Co.,Ltd. |