CN116488844A - 一种远程运维方法、装置、设备及存储介质 - Google Patents
一种远程运维方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116488844A CN116488844A CN202310116581.4A CN202310116581A CN116488844A CN 116488844 A CN116488844 A CN 116488844A CN 202310116581 A CN202310116581 A CN 202310116581A CN 116488844 A CN116488844 A CN 116488844A
- Authority
- CN
- China
- Prior art keywords
- remote
- maintenance
- remote operation
- channel
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012423 maintenance Methods 0.000 title claims abstract description 355
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000013475 authorization Methods 0.000 claims abstract description 83
- 230000035515 penetration Effects 0.000 claims abstract description 75
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012795 verification Methods 0.000 claims description 14
- 230000000977 initiatory effect Effects 0.000 claims description 5
- 230000000149 penetrating effect Effects 0.000 description 8
- 238000011161 development Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 238000010526 radical polymerization reaction Methods 0.000 description 5
- 238000012550 audit Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种远程运维方法、装置、设备及存储介质,涉及计算机技术领域,包括:获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。本申请通过安全性鉴权和客户端提供授权代码防止运维人员的恶意访问,以保障用户的隐私安全。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种远程运维方法、装置、设备及存储介质。
背景技术
在传统运维流程中,通常需要运维到现场进行运维。由于地域限制,运维流程中大部分时间花费在了路途上,因此也需要更多的运维人员,这也引发了新的问题即运维人员素质水平问题,由于人员流动,运维人员的水平无法保证,这也导致了解决问题的效率参差不齐。随着网络技术的发展,逐渐延伸出了远程运维的概念,较为常见的策略有分级权限控制、堡垒机(又称跳板机)和操作审计。但是该方案有严重的缺陷,由于得到登录口令后,运维人员的操作不可限制,即使有操作审计,远程运维工程师拥有服务器的各项权限,一条错误的命令、一个错误的回车操作,可能就将导致企业蒙受巨大的损失,坊间各种″删库跑路″、″rm-rf/″之类的事情在国内外屡有发生,因此运维安全体系就尤为重要。
VPN(Virtual Private Network,即虚拟专用网)是比较常见的一种远程运维方式,VPN是系统集成的网络连接方式,并且是能够实现跨平台的操作。同时这种方式的操作非常简单,而且有很好的安全性保护。当前不少厂家推出了自己的VPN解决方案,这些方案在安全性和易用性方面有了很大的提高。虽然现有技术通过使用VPN技术解决运维中需要花费大量时间到达客户现场来运维的问题,但该方法将客户系统完全暴露给运维人员,这将导致远程运维期间,运维人员有意或者无意的操作都可能导致客户不可挽回的损失,且一旦开启VPN软件,用户无法控制运维人员访问,极大影响了客户的隐私。
发明内容
有鉴于此,本发明的目的在于提供一种远程运维方法、装置、设备及存储介质,能够通过鉴权和授权代码防止运维人员的恶意访问以保障客户的隐私安全。其具体方案如下:
第一方面,本申请公开了一种远程运维方法,应用于远程服务端,包括:
获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;
基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
可选的,所述基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数,包括:
基于所述远程客户端发送的所述远程运维请求中的目标运维端口动态分配服务端口,并生成相应的包含鉴权令牌和所述服务端口的通道建立参数。
可选的,所述基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,包括:
通过自身的所述内网穿透服务端获取所述内网穿透客户端基于所述通道建立参数中的所述服务端口和鉴权令牌发送的所述通道建立请求;
将所述鉴权令牌发送至预设验证插件中进行令牌验证操作,若所述鉴权令牌验证成功,则基于所述服务端口建立与所述内网穿透客户端之间的所述远程运维通道以响应所述通道建立请求。
可选的,所述利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作,包括:
利用获取到与所述远程客户端对应的所述授权代码发送远程访问请求;所述远程访问请求包括登录权限、访问权限和令牌权限;
对远程访问请求中的若干权限均进行鉴权操作,若所述鉴权操作均执行成功则通过所述远程运维通道访问所述远程客户端以进行运维操作。
可选的,所述远程运维方法,还包括:
判断当前所述远程运维通道是否处于空闲状态;
若是,则基于预设时间自动将所述远程运维通道关闭以禁止利用所述远程运维通道进行远程运维操作。
可选的,所述利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端之后,还包括:
通过所述远程客户端对获取的网络地址进行验证以确定所述网络地址中是否携带所述授权代码;
若是,则执行自动登录操作并利用预设销毁任务定时对所述授权代码进行销毁处理。
第二方面,本申请公开了一种远程运维方法,应用于远程客户端,包括:
发起远程运维请求并发送至远程服务端中,以便所述远程服务端获取所述远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
获取所述远程服务端返回的所述通道建立参数,利用所述通道建立参数生成相应的通道建立请求并发送至所述远程服务器,以便所述远程服务器基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的远程运维通道;
在所述远程运维通道建立后生成相应的授权代码,以便所述远程服务端利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
第三方面,本申请公开了一种远程运维装置,应用于远程服务端,包括:
请求获取模块,用于获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
参数返回模块,用于将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;
通道建立模块,用于基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道;
远程运维模块,用于利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
第四方面,本申请公开了一种远程运维装置,应用于远程客户端,包括:
请求发送模块,用于发起远程运维请求并发送至远程服务端中,以便所述远程服务端获取所述远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
请求生成模块,用于获取所述远程服务端返回的所述通道建立参数,利用所述通道建立参数生成相应的通道建立请求并发送至所述远程服务器,以便所述远程服务器基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的远程运维通道;
代码生成模块,用于在所述远程运维通道建立后生成相应的授权代码,以便所述远程服务端利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
第五方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现前述的远程运维方法。
第六方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,所述计算机程序被处理器执行时实现前述的远程运维方法。
可见,本申请首先获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;接着将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;然后基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。由此可知,本申请基于远程服务端发送的通道建立参数鉴权并利用内网穿透建立相应的远程运维通道,然后通过客户端生成的授权代码访问远程客户端,这样一来,利用相应参数进行鉴权以建立通道可以限制运维人员的开发权限,避免运维人员的误操作,并且通过用户的授权代码确定访问可以防止运维人员的私自恶意访问导致用户的隐私受到侵犯,提高了远程运维的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种远程运维方法流程图;
图2为本申请公开的一种具体的远程运维方法流程图;
图3为本申请公开的一种具体的远程运维方法结构流程图;
图4为本申请公开的一种具体的远程运维方法时序图;
图5为本申请公开的一种远程运维方法流程图;
图6为本申请公开的一种远程运维装置结构示意图;
图7为本申请公开的一种远程运维装置结构示意图;
图8为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
随着网络技术的发展,逐渐延伸出了远程运维的概念,VPN是比较常见的一种远程运维方式,现有技术通过使用VPN技术解决运维中需要花费大量时间到达客户现场来运维的问题,但该方法将客户系统完全暴露给运维人员,这将导致远程运维期间,运维人员有意或者无意的操作都可能导致客户不可挽回的损失,且一旦开启VPN软件,用户无法控制运维人员访问,极大影响了客户的隐私。
参见图1所示,本申请实施例公开了一种远程运维方法,应用于远程服务端,包括:
步骤S11:获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数。
本实施例中,首先所述远程服务端需要获取远程客户端发起的远程运维请求,然后基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数,其中用户可以通过远程客户端在所述远程运维请求中限制运维人员的访问权限,即指定开放的目标运维端口并将包含所述目标运维端口和目标运维IP地址的所述远程运维请求发送至远程服务端,以限制远程服务端只能访问所述目标运维端口;所述通道建立参数包括但不限于所述目标运维端口、所述目标运维IP地址、动态分配后得到本地的服务端口以及本地生成的鉴权令牌即Token,其中,Token是服务端生成的一串字符串,以作为客户端进行请求的一个令牌,当发出后,服务器生成一个Token并将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可。这样一来,客户端可以通过设置远程运维请求中暴露的目标运维端口来决定运维的粒度,可以限制运维人员的权限,并且服务端通过生成鉴权令牌Token以便在后续建立通道和访问的过程中进行鉴权操作,以保证远程运维的安全性。
步骤S12:将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码。
本实施例中,所述远程服务端生成所述通道建立参数后,将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码,生成所述授权代码后,用户可以通过电话或者其他方式将所述授权代码发送给远程运维人员,以便运维人员利用所述授权代码访问所述远程客户端。
步骤S13:基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
本实施例中,所述远程服务端基于所述远程客户端发送的所述通道建立请求建立内网穿透客户端(FRP client,即frpc)与内网穿透服务端(FRP server,即frps)之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端,以进行相应的运维操作,其中,内网穿透也即NAT穿透,进行NAT穿透是为了使具有某一个特定源IP地址和源端口号的数据包不被NAT设备屏蔽而正确路由到内网主机。可以理解的是,所述内网穿透客户端在所述远程客户端中,所述内网穿透服务端在所述远程服务端中。这样一来,通过用户的授权代码确定访问可以防止运维人员的私自恶意访问导致用户的隐私受到侵犯,提高了远程运维的安全性。
可见,本申请首先获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;接着将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;然后基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。由此可知,本申请基于远程服务端发送的通道建立参数鉴权并利用内网穿透建立相应的远程运维通道,然后通过客户端生成的授权代码访问远程客户端,这样一来,利用相应参数进行鉴权以建立通道可以限制运维人员的开发权限,避免运维人员的误操作,并且通过用户的授权代码确定访问可以防止运维人员的私自恶意访问导致用户的隐私受到侵犯,提高了远程运维的安全性。
基于上述实施例可知,本申请通过通道建立参数建立远程运维通道并利用客户端的授权代码访问至远程客户端,接下来将对远程运维通道建立和远程访问操作进行详细的描述。参见图2所示,本申请实施例公开了一种具体的远程运维方法,应用于远程服务端,包括:
步骤S21:获取远程客户端发起的远程运维请求,基于所述远程客户端发送的所述远程运维请求中的目标运维端口动态分配服务端口,并生成相应的包含鉴权令牌和所述服务端口的通道建立参数。
本实施例中,所述远程服务端中的SaaS(Software as service,即软件即服务)即产品云平台获取到所述远程客户端发起的远程运维请求后,基于所述远程运维请求中的目标运维端口动态分配本地的服务端口,并且生成鉴权令牌Token以得到包含鉴权令牌和所述服务端口的通道建立参数。其中,所述通道建立参数包括但不限于客户端发送的所述远程运维请求中的目标运维端口、目标运维IP地址以及所述服务端口和所述鉴权令牌。
步骤S22:将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码。
本实施例中,所述SaaS平台将所述通道建立参数返回至所述远程客户端中的核心程序Agent中,以便所述核心程序Agent使用所述通道建立参数启动内网穿透客户端并由supervisor托管以便所述内网穿透客户端向内网穿透服务端发送通道建立请求,并在远程运维通道建立后请求所述远程客户端中的业务平台生成相应的授权代码。
步骤S23:通过自身的内网穿透服务端获取内网穿透客户端基于所述通道建立参数中的所述服务端口和所述鉴权令牌发送的所述通道建立请求。
本实施例中,所述远程服务端中的所述内网穿透服务端获取所述内网穿透客户端基于所述通道建立参数中的所述服务端口和所述鉴权令牌Token发送的所述通道建立请求,其中所述通道建立请求中包括但不限于所述鉴权令牌Token和客户端的设备ID等。
步骤S24:将所述鉴权令牌发送至预设验证插件中进行令牌验证操作,若所述鉴权令牌验证成功,则基于所述服务端口建立与所述内网穿透客户端之间的所述远程运维通道以响应所述通道建立请求。
本实施例中,所述内网穿透服务端获取到所述通道建立请求后,将所述鉴权令牌发送至预设验证插件中进行令牌验证操作,若所述鉴权令牌验证成功,则基于所述服务端口和所述目标运维端口通过NewWorkConn,即新增frpc连接相关信息建立与所述内网穿透客户端之间的所述远程运维通道以响应所述通道建立请求。需要指出的是,在建立远程运维通道时,内网穿透客户端可以通过NewProxy创建代理的相关信息,即设置暴露的目标运维接口,还可以新增proxy连接相关信息,支持tcp(Transmission Control Protocol,传输控制协议)、stcp(Scalable TCP)、https(Hypertext Transfer Protocol Secure,即超文本传输安全协议)和tcpmux协议。其中,所述预设验证插件包括但不限于web auth(WebAuthentication),由于所述鉴权令牌Token是动态生成的,所以每个用户的远程运维都是相互独立的,可以极大提升远程运维的安全性。
步骤S25:利用获取到与所述远程客户端对应的所述授权代码发送远程访问请求;所述远程访问请求包括登录权限、访问权限和令牌权限。
本实施例中,运维人员通过电话或其他方式获取到与所述远程客户端对应的所述授权代码后,将所述远程代码输入至本地的产品云平台中,并基于所述产品云平台发送的访问地址通过所述远程运维通道向所述远程客户端的业务平台发送远程访问请求,其中所述远程访问请求中包含了若干权限验证操作,即登录权限、访问权限、令牌权限等;所述登录权限为检验用户登录操作信息是否合法;所述访问权限为检验远程服务端访问的远程客户端端口是否为目标运维端口,即是否为可以访问的端口;所述令牌权限为验证所述鉴权令牌Token是否合法。
步骤S26:对远程访问请求中的若干权限均进行鉴权操作,若所述鉴权操作均执行成功则通过所述远程运维通道访问所述远程客户端以进行运维操作。
本实施例中,对所述远程访问请求中的若干权限均进行鉴权操作,即校验登录权限、访问权限和令牌权限,若所述鉴权操作均执行成功则通过所述远程运维通道访问所述远程客户端对应的业务平台以进行运维操作。这样一来,通过对登录权限、访问权限以及鉴权令牌进行验证操作,确保运维人员被允许执行远程运维操作,并且通过访问权限可以限制运维人员的访问端口,避免将用户系统完全暴露给运维人员导致运维人员有意或者无意的操作造成客户不可挽回的损失的问题,大大提高了远程运维的安全性和灵活性,保障了用户的隐私安全。
本实施例中,所述利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端之后,还可以包括:通过所述远程客户端对获取的网络地址进行验证以确定所述网络地址中是否携带所述授权代码;若是,则执行自动登录操作并利用预设销毁任务定时对所述授权代码进行销毁处理。即所述远程服务端访问到所述远程客户端后,所述远程客户端中的所述业务平台可以对识别到的网络地址(URL,UniformResource Locator)进行验证,以确定所述网络地址中是否携带所述授权代码,若携带所述授权代码,则可以执行自动登录操作并跳转到主页面,然后利用预设销毁任务定时对所述授权代码进行销毁处理,以避免运维人员私下使用通道进行访问。
本实施例中,还可以包括:判断当前所述远程运维通道是否处于空闲状态;若是,则基于预设时间自动将所述远程运维通道关闭以禁止利用所述远程运维通道进行远程运维操作。即通过Ping(Packet Internet Groper,即因特网包探索器)心跳相关信息来判断当前的所述远程运维通道是否处于空闲状态,若是,则基于预设时间定时自动关闭所述远程运维通道以禁止利用所述远程运维通道进行远程运维操作,这样一来,可以避免客户端长时间暴露,以保障用户的隐私安全。
参见图3所述,所述远程客户端中包括业务平台、核心程序Agent以及内网穿透客户端FRP client,所述远程服务端中包括产品云平台SaaS、内网穿透服务器端FRP server以及web auth。首先客户通过业务平台的平台页面发起协助请求,业务平台鉴权后通过核心程序Agent向远程服务端中的产品云平台发送包含代理目标端口、代理目标IP以及是否代理的协助请求,所述远程服务端中的产品云平台获取到所述协助请求后动态分配端口并生成token然后将包含代理目标端口、代理目标IP、云端端口和云端token的参数返回至所述核心程序Agent中,核心程序Agent接收到所述参数后启动所述内网穿透客户端并基于token和设备id向内网穿透服务端发送建立连接请求,所述内网穿透服务端利用web auth对token进行验证后相应所述建立连接请求至内网穿透客户端以便所述内网穿透客户端向核心程序Agent返回响应成功信息,然后核心程序Agent告知业务平台生成授权代码code,客户通过电话等方式将code告知运维人员,运维人员获取到code后,将code输入至产品云平台中的产品云页面中,并通过产品云平台获取访问地址,接着通过内网穿透之间建立的连接通道访问远程客户端中的所述业务平台,在访问的过程中进行自动鉴权并验证token和设备id,访问到所述业务平台后,所述业务平台对远程服务端的网络地址中的code进行校验并回馈至核心程序Agent中,以便将code进行定时销毁。参见图4所示为远程运维方法的时序图,图中的通道服务器为内网穿透客户端和内网穿透服务器之间建立的远程运维通道,其具体过程不再赘述。
可见,本申请中用户可以在建立远程运维通道时建立访问权限,并在访问过程中对访问权限进行鉴权操作,以限制运维人员的访问权限,避免将用户系统完全暴露给运维人员导致运维人员有意或者无意的操作造成客户不可挽回的损失的问题,本申请还可以定时将授权代码进行销毁,并且在所述远程运维通道处于空闲状态时定时关闭通道,以避免运维人员私下使用通道进行访问和客户端长时间暴露,大大提高了远程运维的安全性和灵活性,保障了用户的隐私安全。
参见图5所示,本申请实施例公开了一种远程运维方法,应用于远程客户端,包括:
步骤S31:发起远程运维请求并发送至远程服务端中,以便所述远程服务端获取所述远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数。
本实施例中,所述远程客户端中的客户端核心程序Agent,首先发起远程运维请求并发送至远程服务器中,以便所述远程服务端获取所述远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数。其中所述远程运维请求中包括但不限于目标运维端口、目标运维IP地址等;所述核心程序Agent用来控制内网穿透的开启与关闭。
步骤S32:获取所述远程服务端返回的所述通道建立参数,利用所述通道建立参数生成相应的通道建立请求并发送至所述远程服务器,以便所述远程服务器基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的远程运维通道。
本实施例中,所述远程客户端的核心程序Agent获取所述远程服务端返回的所述通道建立参数,利用所述通道建立参数生成相应的通道建立请求并通过内网穿透客户端发送至所述远程服务器的内网穿透服务端中,以便所述远程服务器基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的远程运维通道。
步骤S33:在所述远程运维通道建立后生成相应的授权代码,以便所述远程服务端利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
本实施例中,在所述远程运维通道建立后所述远程客户端中的业务平台生成相应的授权代码,用户可以通过电话或邮件等方式将所述授权代码告知运维人员,以便所述远程服务端利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
可见,本申请首先获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;接着将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;然后基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。由此可知,本申请基于远程服务端发送的通道建立参数鉴权并利用内网穿透建立相应的远程运维通道,然后通过客户端生成的授权代码访问远程客户端,这样一来,利用相应参数进行鉴权以建立通道可以限制运维人员的开发权限,避免运维人员的误操作,并且通过用户的授权代码确定访问可以防止运维人员的私自恶意访问导致用户的隐私受到侵犯,提高了远程运维的安全性。
参考图6所述,本申请实施例还相应公开了一种远程运维装置,应用于远程服务端,包括:
请求获取模块11,用于获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
参数返回模块12,用于将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;
通道建立模块13,用于基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道;
远程运维模块14,用于利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
可见,本申请首先获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;接着将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;然后基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。由此可知,本申请基于远程服务端发送的通道建立参数鉴权并利用内网穿透建立相应的远程运维通道,然后通过客户端生成的授权代码访问远程客户端,这样一来,利用相应参数进行鉴权以建立通道可以限制运维人员的开发权限,避免运维人员的误操作,并且通过用户的授权代码确定访问可以防止运维人员的私自恶意访问导致用户的隐私受到侵犯,提高了远程运维的安全性。
在一些具体的实施例中,所述请求获取模块11,具体可以用于基于所述远程客户端发送的所述远程运维请求中的目标运维端口动态分配服务端口,并生成相应的包含鉴权令牌和所述服务端口的通道建立参数。
在一些具体的实施例中,所述通道建立模块13,具体可以包括:
通道建立请求获取单元,用于通过自身的所述内网穿透服务端获取所述内网穿透客户端基于所述通道建立参数中的所述服务端口和鉴权令牌发送的所述通道建立请求;
令牌验证单元,用于将所述鉴权令牌发送至预设验证插件中进行令牌验证操作,若所述鉴权令牌验证成功,则基于所述服务端口建立与所述内网穿透客户端之间的所述远程运维通道以响应所述通道建立请求。
在一些具体的实施例中,所述远程运维模块14,具体可以包括:
访问请求获取单元,用于利用获取到与所述远程客户端对应的所述授权代码发送远程访问请求;所述远程访问请求包括登录权限、访问权限和令牌权限;
权限鉴权单元,用于对远程访问请求中的若干权限均进行鉴权操作,若所述鉴权操作均执行成功则通过所述远程运维通道访问所述远程客户端以进行运维操作。
在一些具体的实施例中,所述远程运维装置,还可以包括:
通道状态判断模块,用于判断当前所述远程运维通道是否处于空闲状态;
通道关闭模块,用于当所述远程运维通道处于空闲状态时,则基于预设时间自动将所述远程运维通道关闭以禁止利用所述远程运维通道进行远程运维操作。
参考图7所述,本申请实施例还相应公开了一种远程运维装置,应用于远程客户端,包括:
请求发送模块21,用于发起远程运维请求并发送至远程服务端中,以便所述远程服务端获取所述远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
请求生成模块22,用于获取所述远程服务端返回的所述通道建立参数,利用所述通道建立参数生成相应的通道建立请求并发送至所述远程服务器,以便所述远程服务器基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的远程运维通道;
代码生成模块23,用于在所述远程运维通道建立后生成相应的授权代码,以便所述远程服务端利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
可见,本申请首先获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;接着将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;然后基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。由此可知,本申请基于远程服务端发送的通道建立参数鉴权并利用内网穿透建立相应的远程运维通道,然后通过客户端生成的授权代码访问远程客户端,这样一来,利用相应参数进行鉴权以建立通道可以限制运维人员的开发权限,避免运维人员的误操作,并且通过用户的授权代码确定访问可以防止运维人员的私自恶意访问导致用户的隐私受到侵犯,提高了远程运维的安全性。
在一些具体的实施例中,所述远程运维装置,还可以包括:
地址验证模块,用于通过所述远程客户端对获取的网络地址进行验证以确定所述网络地址中是否携带所述授权代码;
自动登录模块,用于当所述网络地址中携带所述授权代码时,则执行自动登录操作并利用预设销毁任务定时对所述授权代码进行销毁处理。
进一步的,本申请实施例还公开了一种电子设备,图8是根据一示例性实施例示出的电子设备30结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图8为本申请实施例提供的一种电子设备30的结构示意图。该电子设备30,具体可以包括:至少一个处理器31、至少一个存储器32、电源33、通信接口34、输入输出接口35和通信总线36。其中,所述存储器32用于存储计算机程序,所述计算机程序由所述处理器31加载并执行,以实现前述任一实施例公开的远程运维方法中的相关步骤。另外,本实施例中的电子设备30具体可以为电子计算机。
本实施例中,电源33用于为电子设备30上的各硬件设备提供工作电压;通信接口34能够为电子设备30创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口35,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器32作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作系统321、计算机程序322等,存储方式可以是短暂存储或者永久存储。
其中,操作系统321用于管理与控制电子设备30上的各硬件设备以及计算机程序322,其可以是Windows Server、Netware、Unix、Linux等。计算机程序322除了包括能够用于完成前述任一实施例公开的由电子设备30执行的远程运维方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的远程运维方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (11)
1.一种远程运维方法,其特征在于,应用于远程服务端,包括:
获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;
基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,并利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
2.根据权利要求1所述的远程运维方法,其特征在于,所述基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数,包括:
基于所述远程客户端发送的所述远程运维请求中的目标运维端口动态分配服务端口,并生成相应的包含鉴权令牌和所述服务端口的通道建立参数。
3.根据权利要求2所述的远程运维方法,其特征在于,所述基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道,包括:
通过自身的所述内网穿透服务端获取所述内网穿透客户端基于所述通道建立参数中的所述服务端口和所述鉴权令牌发送的所述通道建立请求;
将所述鉴权令牌发送至预设验证插件中进行令牌验证操作,若所述鉴权令牌验证成功,则基于所述服务端口建立与所述内网穿透客户端之间的所述远程运维通道以响应所述通道建立请求。
4.根据权利要求1所述的远程运维方法,其特征在于,所述利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作,包括:
利用获取到与所述远程客户端对应的所述授权代码发送远程访问请求;所述远程访问请求包括登录权限、访问权限和令牌权限;
对远程访问请求中的若干权限均进行鉴权操作,若所述鉴权操作均执行成功则通过所述远程运维通道访问所述远程客户端以进行运维操作。
5.根据权利要求1所述的远程运维方法,其特征在于,还包括:
判断当前所述远程运维通道是否处于空闲状态;
若是,则基于预设时间自动将所述远程运维通道关闭以禁止利用所述远程运维通道进行远程运维操作。
6.根据权利要求1至5任一项所述的远程运维方法,其特征在于,所述利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端之后,还包括:
通过所述远程客户端对获取的网络地址进行验证以确定所述网络地址中是否携带所述授权代码;
若是,则执行自动登录操作并利用预设销毁任务定时对所述授权代码进行销毁处理。
7.一种远程运维方法,其特征在于,应用于远程客户端,包括:
发起远程运维请求并发送至远程服务端中,以便所述远程服务端获取所述远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
获取所述远程服务端返回的所述通道建立参数,利用所述通道建立参数生成相应的通道建立请求并发送至所述远程服务器,以便所述远程服务器基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的远程运维通道;
在所述远程运维通道建立后生成相应的授权代码,以便所述远程服务端利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
8.一种远程运维装置,其特征在于,应用于远程服务端,包括:
请求获取模块,用于获取远程客户端发起的远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
参数返回模块,用于将所述通道建立参数返回至所述远程客户端中,以便所述远程客户端基于所述通道建立参数发送通道建立请求并在远程运维通道建立后生成相应的授权代码;
通道建立模块,用于基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的所述远程运维通道;
远程运维模块,用于利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
9.一种远程运维装置,其特征在于,应用于远程客户端,包括:
请求发送模块,用于发起远程运维请求并发送至远程服务端中,以便所述远程服务端获取所述远程运维请求,基于所述远程运维请求动态分配远程运维端口并生成相应的通道建立参数;
请求生成模块,用于获取所述远程服务端返回的所述通道建立参数,利用所述通道建立参数生成相应的通道建立请求并发送至所述远程服务器,以便所述远程服务器基于所述通道建立请求建立内网穿透客户端与内网穿透服务端之间的远程运维通道;
代码生成模块,用于在所述远程运维通道建立后生成相应的授权代码,以便所述远程服务端利用获取到的与所述远程客户端对应的所述授权代码通过所述远程运维通道访问所述远程客户端以进行运维操作。
10.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的远程运维方法。
11.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的远程运维方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310116581.4A CN116488844A (zh) | 2023-01-16 | 2023-01-16 | 一种远程运维方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310116581.4A CN116488844A (zh) | 2023-01-16 | 2023-01-16 | 一种远程运维方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116488844A true CN116488844A (zh) | 2023-07-25 |
Family
ID=87218388
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310116581.4A Pending CN116488844A (zh) | 2023-01-16 | 2023-01-16 | 一种远程运维方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116488844A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116760648A (zh) * | 2023-08-22 | 2023-09-15 | 上海金电网安科技有限公司 | 安全服务方法、装置、电子设备及存储介质 |
-
2023
- 2023-01-16 CN CN202310116581.4A patent/CN116488844A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116760648A (zh) * | 2023-08-22 | 2023-09-15 | 上海金电网安科技有限公司 | 安全服务方法、装置、电子设备及存储介质 |
CN116760648B (zh) * | 2023-08-22 | 2023-11-17 | 上海金电网安科技有限公司 | 安全服务方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111131242B (zh) | 一种权限控制方法、装置和系统 | |
CN108108223B (zh) | 基于Kubernetes的容器管理平台 | |
CN107172054B (zh) | 一种基于cas的权限认证方法、装置及系统 | |
EP1422904B1 (en) | Method and systems for sharing a network resource with a user without current access | |
US10356612B2 (en) | Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access | |
CN110730174B (zh) | 一种网络访问控制方法、装置、设备及介质 | |
KR101795592B1 (ko) | 기업용 클라우드 서비스의 접근 통제 방법 | |
CN107122674B (zh) | 一种应用于运维审计系统的oracle数据库的访问方法 | |
CN105991614B (zh) | 一种开放授权、资源访问的方法及装置、服务器 | |
WO2015102872A1 (en) | Split-application infrastructure | |
CN103404103A (zh) | 将访问控制系统与业务管理系统相结合的系统和方法 | |
CN108092988B (zh) | 基于动态创建临时密码的无感知认证授权网络系统和方法 | |
CN114995214A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
CN113452711B (zh) | 云桌面的单点登录方法及网络设备 | |
CN113381979A (zh) | 一种访问请求代理方法及代理服务器 | |
CN110602054A (zh) | 基于代理的特权凭证认证保护方法及装置 | |
CN116488844A (zh) | 一种远程运维方法、装置、设备及存储介质 | |
CN114124556B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 | |
CN113194099B (zh) | 一种数据代理方法及代理服务器 | |
CN114285821A (zh) | 一种域名解析方法、装置、电子设备、存储介质及产品 | |
CN114661485A (zh) | 基于零信任架构的应用程序接口访问控制的系统及方法 | |
GB2555108A (en) | Improvements in and relating to network communications | |
CN113992415B (zh) | 一种基于OAuth2协议的统一认证授权方法 | |
CN108259414B (zh) | 一种虚拟资源的管控方法及服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |