CN116614487A - 一种设备远程连接方法、装置、介质及系统 - Google Patents

一种设备远程连接方法、装置、介质及系统 Download PDF

Info

Publication number
CN116614487A
CN116614487A CN202310369280.2A CN202310369280A CN116614487A CN 116614487 A CN116614487 A CN 116614487A CN 202310369280 A CN202310369280 A CN 202310369280A CN 116614487 A CN116614487 A CN 116614487A
Authority
CN
China
Prior art keywords
access terminal
remote connection
client
terminal equipment
service port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310369280.2A
Other languages
English (en)
Inventor
张晓聪
童剑
杨鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Baishancloud Technology Co Ltd
Original Assignee
Guizhou Baishancloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Baishancloud Technology Co Ltd filed Critical Guizhou Baishancloud Technology Co Ltd
Priority to CN202310369280.2A priority Critical patent/CN116614487A/zh
Publication of CN116614487A publication Critical patent/CN116614487A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请是关于一种设备远程连接方法、装置、介质及设备,应用于运维平台,包括:接收客户端的远程连接请求,远程连接请求包括目标接入端设备;在目标接入端设备与运维平台未建立WebSocket连接时,采用消息队列的方式通知目标接入端设备向运维平台发送建立WebSocket连接的请求,并建立WebSocket连接;通过WebSocket连接,建立客户端至目标接入端设备的远程连接会话,双向传输客户端的操作数据和所述目标接入端的响应数据,以使运维人员通过客户端对目标接入端进行远程操作。不需要在接入端设备上部署额外的代理程序,减少了运维的工作量和系统的复杂性,减少了沟通成本和处理时间。

Description

一种设备远程连接方法、装置、介质及系统
技术领域
本申请涉及互联网领域,尤其涉及一种设备远程连接方法、装置、介质及系统。
背景技术
在SD-WAN(软件定义广域网络)应用场景下,将流量引入SD-WAN网络的接入端设备,通常部署于客户的内网环境。接入端设备可以是物理机(CPE)、虚拟机或者容器(vCPE)。
由于运维人员无法在控制中心直接访问部署于内网环境的接入端设备,因此无法及时实施故障排查、或执行紧急系统指令。
相关技术中,需要客户使用远程桌面协助处理,沟通成本高、处理效率慢,且执行过程无法保密,容易泄露敏感信息。且由于未记录完整的执行过程,操作过程无法回溯,不利于问题处理过程的知识积累和操作过程审查。
为了解决这些问题,还可以考虑采用一些其他的技术手段。例如,可以在接入端设备上部署代理程序,通过代理程序将内部网络暴露给控制中心。这样,运维人员就可以直接访问接入端设备,进行故障排查和系统指令的执行。另外,还可以考虑使用虚拟专用网络(VPN)或安全套接字层(SSL)等技术,将内部网络安全地暴露给控制中心。这样,运维人员可以直接访问内部网络。
然而,这些方式需要在接入端设备上部署额外的代理程序,增加了运维的工作量和系统的复杂性,额外的网络设备和配置也增加系统的复杂度和维护成本;而且,将内部网络暴露给控制中心,可能会增加网络的攻击面和安全风险,使得内部网络更容易受到黑客攻击和恶意软件的感染,或者导致敏感信息的泄露,使得机密数据和用户隐私更容易被非法获取和滥用。
发明内容
为克服相关技术中存在的问题,本申请提供一种设备远程连接方法、装置、介质及设备。
根据本申请的第一方面,提供一种设备远程连接方法,应用于运维平台,包括:
接收客户端的远程连接请求,所述远程连接请求包括目标接入端设备;
在所述目标接入端设备与所述运维平台未建立WebSocket连接时,采用消息队列的方式通知所述目标接入端设备向所述运维平台发送建立WebSocket连接的请求,并建立WebSocket连接;
通过所述WebSocket连接,建立所述客户端至所述目标接入端设备的远程连接会话,双向传输所述客户端的操作数据和所述目标接入端的响应数据,以使运维人员通过所述客户端对所述目标接入端进行远程操作。
基于前述方案,在本申请的一些实施例中,接收客户端的远程连接请求之前,还包括;
接收接入端设备的注册信息,对所述注册信息进行验证,存储注册成功的接入端设备的信息;
提供远程连接操作界面,以使客户端登录Web服务,检索注册成功的接入端设备,并选择目标接入端设备。
基于前述方案,在本申请的一些实施例中,建立所述客户端至所述目标接入端设备的远程连接会话包括:
为远程连接会话创建第一临时服务端口和第二临时服务端口,所述第一临时服务端口用于连通接入端设备,所述第二临时服务端口用于连通所述客户端。
基于前述方案,在本申请的一些实施例中,所述双向传输所述客户端的操作数据和所述目标接入端的响应数据包括:
创建外部服务端口,通过所述外部服务端口接收所述客户端的操作数据以及所述接入端设备的响应数据,并转发至对应的临时服务端口。
基于前述方案,在本申请的一些实施例中,所述通过所述外部服务端口接收所述客户端的操作数据以及所述接入端设备的响应数据,并转发至对应的临时服务端口包括:
当所述外部服务端口接收的数据为所述客户端的操作数据,将所述操作数据发送至第二临时服务端口,以使所述第二临时服务端口转发所述操作数据至第一临时服务端口,由所述第一临时服务端口转发至所述接入端设备;
当所述外部服务端口接收的数据为所述接入端设备的响应数据,将所述响应数据发送至第一临时服务端口,以使所述第一临时服务端口转发所述响应数据至第二临时服务端口,由所述第二临时服务端口转发至所述客户端。
基于前述方案,在本申请的一些实施例中,设备远程连接方法,还包括:
监控所述远程连接会话的空闲时长,当所述空闲时长达到预设阈值时,关闭所述远程连接会话。
基于前述方案,在本申请的一些实施例中,设备远程连接方法,还包括:
记录双向传输的数据,生成操作日志,基于所述远程连接会话的标识存储所述操作日志。
基于前述方案,在本申请的一些实施例中,设备远程连接方法,还包括:
接收所述客户端针对操作日志的获取请求,根据所述获取请求中的远程连接会话的标识,将对应的操作日志显示在所述远程连接操作界面。
根据本申请的另一方面,提供一种设备远程连接装置,应用于运维平台,包括:
远程连接请求接收模块,用于接收客户端的远程连接请求,所述远程连接请求包括目标接入端设备;
WebSocket连接管理模块,用于在所述目标接入端设备与所述运维平台未建立WebSocket连接时,采用消息队列的方式通知所述目标接入端设备向所述运维平台发送建立WebSocket连接的请求,并建立WebSocket连接;
连接会话建立模块,用于通过所述WebSocket连接,建立所述客户端至所述目标接入端设备的远程连接会话,双向传输所述客户端的操作数据和所述目标接入端的响应数据,以使运维人员通过所述客户端对所述目标接入端进行远程操作。
基于前述方案,在本申请的一些实施例中,设备远程连接装置,还包括:
注册模块,用于接收接入端设备的注册信息,对所述注册信息进行验证,存储注册成功的接入端设备的信息;
Web服务模块,用于提供远程连接操作界面,以使客户端登录Web服务,检索注册成功的接入端设备,并选择目标接入端设备。
基于前述方案,在本申请的一些实施例中,设备远程连接装置还包括:
会话监控模块,用于监控所述远程连接会话的空闲时长,当所述空闲时长达到预设阈值时,关闭所述远程连接会话。
基于前述方案,在本申请的一些实施例中,设备远程连接装置还包括:
日志管理模块,用于记录双向传输的数据,生成操作日志,基于所述远程连接会话的标识存储所述操作日志。
基于前述方案,在本申请的一些实施例中,所述日志管理模块还用于接收所述客户端针对操作日志的获取请求,根据所述获取请求中的远程连接会话的标识,将对应的操作日志显示在所述远程连接操作界面。
根据本申请的另一方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被执行时实现设备远程连接方法步骤。
根据本申请的另一方面,提供一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现设备远程连接方法步骤。
本申请通过设置运维平台,由运维平台接收客户的远程连接请求,运维平台在未与目标接入端设备建立连接时,采用消息队列的方式通知目标接入端向运维平台发送建立WebSocket连接的请求,并建立WebSocket连接,从而建立客户端至目标接入端设备的远程连接会话,可以实现运维人员通过客户端对目标接入端进行远程操作。作为一种解决部署于内网环境的接入端设备无法直接被访问这一问题的有效途径,相比于前面提到的在接入端设备上部署代理程序、使用VPN或SSL等技术,这种设备远程连接方法具有以下优势:
不需要在接入端设备上部署额外的代理程序,减少了运维的工作量和系统的复杂性。
不需要将内部网络暴露给控制中心,采用WebSocket连接的方式传输数据,可以保证数据传输的安全性。
运维人员可以通过客户端直接对目标接入端进行操作,方便快捷,减少了沟通成本和处理时间。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据一示例性实施例示出的一种设备远程连接方法的流程图。
图2是根据一示例性实施例示出的一种设备远程连接装置的框图。
图3是根据一示例性实施例示出的一种设备远程连接装置的框图。
图4是根据一示例性实施例示出的一种设备远程连接装置的框图。
图5是根据一示例性实施例示出的一种设备远程连接装置的框图。
图6是根据一示例性实施例示出的一种用于设备远程连接的计算机设备的框图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在SD-WAN应用场景下,客户在内网配置接入端设备,通过接入端设备访问SD-WAN网络,接入端设备可以是物理机(CPE)、虚拟机或者容器(vCPE)。由于接入端设备通常部署于客户的内网环境,当需要对接入端设备进行故障排查或执行紧急系统指令时,运维人员无法远程连接接入端设备。传统技术中,需要客户启动远程桌面,协助运维人员进行处理,沟通成本高,处理效率慢,且执行过程无法保密,容易泄露敏感信息。而且这种远程处理方式,无法记录执行过程,不利于知识积累和操作过程的审查。其他技术中,如部署代理程序将内部网络暴露给控制中心和使用VPN或SSL等技术将内部网络安全地暴露给控制中心,虽然都可以解决在SD-WAN应用场景下,运维人员无法直接访问部署于内网环境的接入端设备的问题,但前者存在安全风险和运维效率低的问题,后者则需要额外的安全配置和管理成本。
本申请提供一种设备远程连接方法,应用于运维平台。运维平台设置在云系统中,在运维平台安装服务端应用程序,在运维人员的网络设备中安装客户端程序,运维人员使用客户端程序可以访问运维平台。接入端设备可以向运维平台发起连接请求,并建立WebSocket连接。运维平台一方面连接运维人员的客户端,另一方面与接入端设备建立WebSocket连接,可以为客户端和接入端设备建立连接会话,使得运维人员的客户端可以通过已经建立的WebSocket连接,对接入端设备进行远程操作。
图1是根据一示例性实施例示出的一种设备远程连接方法的流程图。参考图1,设备远程连接方法应用于运维平台,包括:
步骤S11,接收客户端的远程连接请求,远程连接请求包括目标接入端设备。
当运维人员需要远程操作接入端设备时,由于运维人员的客户端无法与处于内网中的接入端设备直接连接,运维人员需要通过客户端向运维平台发送远程连接请求。同时,由于在SD-WAN网络中,一般会包括多个接入端设备,运维人员需要从多个接入端设备中确定目标接入端设备,并在远程连接请求中携带该目标接入端设备的相关信息,例如,可以是全局唯一SN序列号、全局唯一ID标识、目标接入端设备的IP地址、MAC地址、设备型号、版本号等相关信息等信息。这些信息可以帮助运维人员更准确地识别和管理目标设备,提高故障排查和系统管理的效率。
在此之前,运维平台需要获知在SD-WAN网络中,存在哪些接入端设备,并将获知的接入端设备向运维人员的客户端进行显示,这样运维人员才能通过运维平台,选择接入端设备进行远程操作。
在一示例性实施例中,在接收客户端的远程连接请求之前,设备远程连接方法还包括;
接收接入端设备的注册信息,对注册信息进行验证,存储注册成功的接入端设备的信息。
在配置SD-WAN网络时,接入端设备在交付给客户之前,运维平台会录入各个接入端设备的信息,例如,SN序列号、全局唯一ID标识、目标接入端设备的IP地址、MAC地址、设备型号、版本号等。客户在各个分支机构中配置接入端设备,接入端设备连接网络后,可以主动连接到运维平台,并向运维平台进行注册。注册信息可以是唯一标识每个接入端设备的信息,例如,可以是全局唯一SN序列号、全局唯一ID标识、目标接入端设备的IP地址、MAC地址、设备型号、版本号等相关信息中的一种或多种。运维平台接收到接入端设备的注册信息后,对接入端设备提供的注册信息与事先录入的设备信息进行比较,如果一致,确定该接入端设备注册成功,并存储该接入端设备的信息。对接入端设备进行注册,可以防止非法接入端设备的接入,提高网络安全,另一方面,可以确定交付给客户的多个接入端设备中,哪些设备已经投入使用。具体应用中,运维平台可以设置远程连接代理服务和WEB服务,由远程连接代理服务接收注册信息,并对注册信息进行保存。WEB服务将保存的注册信息向远程连接操作界面进行显示。
同时,运维平台提供远程连接操作界面,在运维人员使用客户端连接到运维平台时,向运维人员的客户端显示该远程连接操作界面,供运维人员登录WEB服务。运维人员可以通过远程连接操作界面,检索已经注册的接入端设备。然后,运维人员可以从注册的接入端设备中选择目标接入端设备。点击发送或确定按钮,向运维平台发送携带目标接入端设备的唯一标识的远程连接请求。
步骤S12,在目标接入端设备与运维平台未建立WebSocket连接时,采用消息队列的方式通知目标接入端设备向运维平台发送建立WebSocket连接的请求,并建立WebSocket连接。
虽然,在接入端设备启动时,会主动与运维平台建立WebSocket连接,并向运维平台发送注册信息。但运维平台与接入端设备长时间维持远程连接,会导致连接通道资源的浪费,当SD-WAN网络中接入端设备较多时,运维平台与接入端设备长时间维持远程连接会消耗大量资源,因此,适时关闭已经建立的WebSocket连接,可以节省大量资源,减少运维平台和接入端设备的消耗,同时,适时关闭已经建立的WebSocket连接还可以提高安全性,减少可能被攻击的窗口期。如果WebSocket连接一直保持开启状态,那么攻击者就有更长的时间和机会进行攻击。而及时关闭WebSocket连接,可以减少攻击窗口期,从而提高系统的安全性。
由于WebSocket连接请求只能由接入端设备向运维平台发送,而不能由运维平台向接入端设备发送。在运维平台接收到客户端远程连接到目标接入端设备的远程连接请求后,会判断目标接入端设备与运维平台是否已存在WebSocket连接,如果WebSocket连接存在,则利用已经存在的WebSocket连接;如果WebSocket连接被释放,运维平台认为目标接入端设备与运维平台未建立WebSocket连接,采用消息队列的方式通知目标接入端设备向运维平台发发送建立WebSocket连接的指令,运维平台接收到目标接入端设备发送的连接请求后,与目标接入端设备并建立WebSocket连接。
步骤S13,通过WebSocket连接,建立客户端至目标接入端设备的远程连接会话,双向传输客户端的操作数据和目标接入端的响应数据,以使运维人员通过客户端对目标接入端进行远程操作。
运维平台已经与运维人员的客户端建立连接,通过与目标接入端设备的WebSocket连接,可以建立客户端到目标接入端设备的远程连接会话,双向传输客户端的操作数据和目标接入端的响应数据。通过远程连接会话,运维人员可以通过客户端对目标接入端进行远程操作。
在本实施例中,在运维人员需要与目标接入端设备建立远程连接时,运维平台采用消息队列的方式,向目标接入端设备发送少量的控制信息,通知目标接入端设备向运维中心发起WebSocket连接请求,并与目标接入端设备建立WebSocket连接,用于传输数量流。充分利用了消息队列适用于传输少量数据,WebSocket连接适合传输大量数据的特点,在需要建立远程连接时,由运维平台主导,通过消息队列的方式发送控制信息,控制目标接入端设备建立WebSocket连接。运维平台不需要和接入端设备长期维持WebSocket连接,避免了闲时占用通信通道,对运维平台和目标接入端设备的资源消耗。通过使用消息队列和WebSocket连接,可以更加灵活和高效地控制远程连接的建立和断开,减少资源的浪费和消耗,提高系统的稳定性和可靠性。
由于运维平台设置在云系统中,由运维平台与不同的接入端设备建立WebSocket连接,不同的运维人员只需要连接至运维平台,即可选择与不同接入端寄建立远程连接,避免了传统技术中,需要部署操作网关,操作网关需要部署在可以直接与内网连通的网络中,对部署网络环境限制大、操作网关消耗硬件资源多、多个客户需要部署多个操作网关部署成本高的问题。
在一示例性实施例中,步骤S13中,建立客户端至目标接入端设备的远程连接会话包括:
为远程连接会话创建第一临时服务端口和第二临时服务端口,第一临时服务端口用于连通接入端设备,第二临时服务端口用于连通所述客户端。
运维平台为每个会话建立会话ID,不同会话拥有不同的会话ID,会话ID标识本次远程会话,第一临时服务端口和第二临时服务端口分别与会话ID一一对应。为每个会话开启一对临时端口,临时端口分别和客户端、接入端设备连通,可以使得不同会话相互隔离,不会互相干扰。同时便于运维平台的管理,例如,运维平台可以实时记录各个临时端口的操作或响应数据,生成日志数据,并以会话ID进行标识,不同客户端远程连接不同接入端设备的日志数据,可以清楚地进行区分。
在一示例性实施例中,双向传输客户端的操作数据和目标接入端的响应数据包括:
创建外部服务端口,通过外部服务端口接收客户端的操作数据以及接入端设备的响应数据,并转发至对应的临时服务端口。
如果为每个会话建立一对临时端口,如果选用外部端口作为临时端口用于传输客户端和接入端设备之间的数据,在远程连接数量较多时,会占用大量的外部端口资源,对运维平台的硬件资源的要求较高,限制了运维平台的服务能力。因此,在本实施例中,创建外部服务端口,通过外部服务端口接收客户端的操作数据以及接入端设备的响应数据,并转发至对应的临时服务端口。此时,临时服务端口可以是内部端口,外部不可见,可以由运维平台根据需要进行设置。由运维平台创建外部服务端口,用于接收不同客户端的操作数据和不同目标接入端的响应数据,运维平台在提供远程连接服务时,只占用一个外部端口,节省外部服务端口资源。由外部服务端口将不同客户端的操作数据和不同目标接入端的响应数据转发至对应的临时服务端口,因此,依然可以通过临时服务端口区别不同的会话。
在一示例性实施例中,通过外部服务端口接收客户端的操作数据以及接入端设备的响应数据,并转发至对应的临时服务端口包括:
当外部服务端口接收的数据为客户端的操作数据,将操作数据发送至第二临时服务端口,以使第二临时服务端口转发操作数据至第一临时服务端口,由第一临时服务端口转发至接入端设备;
当外部服务端口接收的数据为所述接入端设备的响应数据,将响应数据发送至第一临时服务端口,以使第一临时服务端口转发响应数据至第二临时服务端口,由第二临时服务端口转发至客户端。
由外部服务端口接收客户端和接入端设备的数据,转发给对应的第一临时服务端口或第二临时服务端口。客户端的操作数据转发至第二临时服务端口,再经第一临时服务端口发送给接入端设备;接入端设备的响应数据,转发至第一临时服务端口,再经第二临时服务端口发送给客户端。不但实现了客户端和接入端设备的远程连接,还可以对远程连接过程的操作数据根据成对的临时端口进行隔离,防止不同客户端和不同接入端设备的数据互相干扰。同时还可以根据数据是由第一临时服务端口发送给第二临时服务端口,还是由第二临时服务端口发送给第一临时服务端口,区分该数据是操作数据还是响应数据,在存储日志数据时,可以进行有效的区分,便于后续日志数据的管理和使用。
在一示例性实施例中,设备远程连接方法,还包括:
监控远程连接会话的空闲时长,当空闲时长达到预设阈值时,关闭远程连接会话。
远程连接会话会占用连接通道的资源,运维平台可以监控当前的会话,记录会话的空闲时长,例如,当空闲时长达到预设阈值时,关闭远程连接会话。避免远程连接长时间空闲,导致远程连接通道资源的浪费,及时关闭远程连接会话,回收通道资源。预设阈值可以根据实际情况确定,例如可以是1分钟、5分钟。由于每个会话在空闲一定时长后,会自动关闭,也就避免了传统技术中,由于运维人员忘记关闭远程连接后,连接长时间存在,持续产生大量日志数据,极大了浪费系统资源的问题。
在一示例性实施例中,设备远程连接方法,还包括:
记录双向传输的数据,生成操作日志,基于远程连接会话的标识存储操作日志。
在远程连接过程中,运维平台记录每个会话的双向传输数据,生成操作日志,并基于远程连接会话的标识存储操作日志。每次远程连接,都会产生各自的日志数据,日志数据基于远程连接会话的标识存储在数据库中,当需要对日志数据进行查询时,只需要查询远程连接会话的标识,可快速获取目标日志。另外,由运维平台记录日志数据,避免了传统技术中,日志数据由接入端设备记录并存储,然后上传到日志服务器,日志数据存在伪造的风险。通过记录和保存WebSocket连接的过程数据,可以方便地回溯操作过程,便于问题处理方面的知识和经验的积累,方便对操作过程进行审查。
在一示例性实施例中,设备远程连接方法,还包括:
接收客户端针对操作日志的获取请求,根据获取请求中的远程连接会话的标识,将对应的操作日志显示在远程连接操作界面。
当运维人员需要获取日志数据时,可以向运维平台发起针对操作日志的获取请求,运维人员可以根据不同会话来获取对应的日志数据,将远程连接会话的标识携带在操作日志的获取请求中。运维平台根据远程连接会话的标识,将对应的操作日志显示在远程连接操作界面,供运维人员查看。
为更好地理解本申请提提的设备远程连接方法,以具体实施例做进一步说明。
具体实施例一:
企业有多个分支机构,每个分支机构配置接入端设备,组成SD-WAN网络。由于接入端设备位于各个分支机构的内网环境中,而多个分支机构又分布于不同的地理区域,当需要对接入端设备进行故障排查或执行紧急系统指令时,运维人员无法远程连接接入端设备,从而采用远程桌面的方式进行操作。但该方法需要对应的分支机构启动远程桌面,并协助运维人员进行处理,沟通成本高,效率低,还容易泄露敏感信息。
如果部署操作网关,也可以实现远程连接。但操作网关需要部署在可以直接与内网连通的网络环境中,如果采用部署操作网关的方式,需要针对多个分支机构,部署多个操作网关,部署成本非常高,而且该方法无法进行快速扩容。
经过对多种远程连接方案的比较,最后企业运维人员采用云服务提供商提供的设备远程连接方法,由云服务提供商提供运维平台,运维平台设置在云系统中,包括远程连接代理服务,Web服务,日志存储单元。远程连接代理服务部署与网络中可访问的服务器中,可以为远程连接客户端提供安全的WebSocket连接服务(TLS加密),为运维平台提供安全的HTTPS控制服务。Web服务提供远程连接操作界面,供运维人员登录Web服务。
多个分支机构的接入端设备在重启后,自动连接远程代理服务器,发送注册信息,注册信息为接入端设备的唯一标识。远程代理服务对注册信息进行验证后,存储接入端设备的信息。
运维人员通过访问指定的URL,访问远程连接操作界面,输入正确的用户名和密码后登录Web服务。通过远程连接界面,运维人员可以检索已经注册成功的接入端设备的信息,Web服务从远程连接代理服务存储的接入端设备的信息中获取相关信息,并显示在远程连接操作界面中。
运维人员选择需要执行紧急系统指令的目标接入端设备,点击远程连接的确认按钮。
运维平台的远程连接代理服务在检测到未与目标接入端设备建立WebSocket连接时,采用消息队列的方式,通知目标接入端设备向远程连接代理服务器发送建立WebSocket连接的请求,并建立WebSocket连接。
远程连接代理服务根据运维人员的客户端和目标接入端设备的标识,建立远程连接会话,并创建第一临时服务端口和第二临时服务端口两个内部端口。
运维人员在远程连接界面显示连接成功的消息后,可以向目标接入端设备发送操作数据。操作数据被发送到远程连接代理服务器预先建立的外部服务端口,远程代理服务器将操作数据发送至第二临时服务端口,由第二临时服务端口转发至第一临时服务端口,最后由第一临时服务端口转发至目标接入端设备。
目标接入端设备执行操作数据,并将响应数据发送给远程代理服务器预先建立的外部服务端口,远程代理服务器将响应数据发送至第一临时服务端口,由第一临时服务端口转发至第二临时服务端口,最后由第二临时服务端口转发至客户端。
远程连接代理服务监控远程连接会话的空闲时长,当空闲时长达到2分钟时,关闭远程连接会话。
日志存储单元实时对远程连接会话进行监测,记录第一临时服务端口和第二临时服务端口之间传输的数据进行记录,生成日志数据,基于会话标识进行存储。日志数据以JSON文件格式存储到对象存储服务器。
运维人员需要调用日志数据时,首先连接到远程连接操作界面,选择日志数据相关的按钮,远程连接操作界面以会话标识为单位展示已经存在的日志数据。运维人员在运维平台的远程连接日志中选择某个会话ID。
Web服务使用操作日志的会话ID向代理服务请求操作日志的临时授权的下载链接。使用临时授权下载链接,只有运维平台的Web服务能够访问和下载一次,可以避免敏感日志信息泄露。
Web服务通过远程连接操作界面展示操作日志播放器,播放器访问临时授权下载连接,从对象存储服务器下载会话ID相关的操作日志文件。播放器解析操作日志文件,并逐秒从头开始回放远程操作过程。播放人员可以直观查看操作过程,并可随意拖动播放进度,同时可以直接复制日志信息文本。
通过以上实施例,采用本申请提供的设备远程连接方法,在需要建立远程连接时,由运维平台主导,通过消息对列的方式发送控制信息,控制目标接入端设备建立WebSocket连接。运维平台不需要和接入端设备长期维持WebSocket连接,避免了闲时占用通信通道,对运维平台和目标接入端设备的资源消耗。不需要部署操作网关,避免了部署网络环境限制大、操作网关消耗硬件资源多、多个客户需要部署多个操作网关部署成本高的问题。
通过外部服务端口接收操作数据和响应数据,为每个远程连接会话建立一对临时的内部服务端口,在节省外部服务端口资源的同时,实现对不同会话进行隔离。
操作日志以会话标识进行存储,便于日志数据的调用和管理。操作日志存储在运维中心,避免了操作日志被篡改和泄露,提高操作日志的安全。
图2是根据一示例性实施例示出的一种设备远程连接装置的框图。参考图2,设备远程连接装置包括:远程连接请求接收模块201,WebSocket连接管理模块202,连接会话建立模块203。
该远程连接请求接收模块201被配置为,用于接收客户端的远程连接请求,远程连接请求包括目标接入端设备。
该WebSocket连接管理模块202被配置为,用于在目标接入端设备与运维平台未建立WebSocket连接时,采用消息队列的方式通知目标接入端设备向运维平台发送建立WebSocket连接的请求,并建立WebSocket连接。
该连接会话建立模块203被配置为,用于通过WebSocket连接,建立客户端至目标接入端设备的远程连接会话,双向传输客户端的操作数据和目标接入端的响应数据,以使运维人员通过客户端对目标接入端进行远程操作。
在一示例性实施例中,该连接会话建立模块203还被配置为,为远程连接会话创建第一临时服务端口和第二临时服务端口,第一临时服务端口用于连通接入端设备,第二临时服务端口用于连通客户端。
在一示例性实施例中,该连接会话建立模块203还被配置为,创建外部服务端口,通过外部服务端口接收客户端的操作数据以及接入端设备的响应数据,并转发至对应的临时服务端口。
图3是根据一示例性实施例示出的一种设备远程连接装置的框图。参考图3,设备远程连接装置,还包括:
注册模块301,被配置为用于接收接入端设备的注册信息,对注册信息进行验证,存储注册成功的接入端设备的信息;
Web服务模块302,被配置为用于提供远程连接操作界面,以使客户端登录Web服务,检索注册成功的接入端设备,并选择目标接入端设备。
图4是根据一示例性实施例示出的一种设备远程连接装置的框图。参考图4,设备远程连接装置,还包括:
会话监控模块401,被配置为用于监控所述远程连接会话的空闲时长,当所述空闲时长达到预设阈值时,关闭远程连接会话。
图5是根据一示例性实施例示出的一种设备远程连接装置的框图。参考图5,设备远程连接装置,还包括:
日志管理模块501,被配置为用于记录双向传输的数据,生成操作日志,基于远程连接会话的标识存储所述操作日志。
在一示例性实施例中,该日志管理模块501还被配置为用于接收客户端针对操作日志的获取请求,根据获取请求中的远程连接会话的标识,将对应的操作日志显示在所述远程连接操作界面。
图6是根据一示例性实施例示出的一种用于设备远程连接的计算机设备600的框图。例如,计算机设备600可以被提供为一服务器。参照图6,计算机设备600包括处理器601,处理器的个数可以根据需要设置为一个或者多个。计算机设备600还包括存储器602,用于存储可由处理器601的执行的指令,例如应用程序。存储器的个数可以根据需要设置一个或者多个。其存储的应用程序可以为一个或者多个。处理器601被配置为执行指令,以执行上述设备远程连接方法。
本领域技术人员应明白,本申请的实施例可提供为方法、装置(设备)、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质,包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质等。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
本申请是参照根据本申请实施例的方法、装置(设备)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的物品或者设备中还存在另外的相同要素。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请的意图也包含这些改动和变型在内。

Claims (15)

1.一种设备远程连接方法,应用于运维平台,其特征在于,包括:
接收客户端的远程连接请求,所述远程连接请求包括目标接入端设备;
在所述目标接入端设备与所述运维平台未建立WebSocket连接时,采用消息队列的方式通知所述目标接入端设备向所述运维平台发送建立WebSocket连接的请求,并建立WebSocket连接;
通过所述WebSocket连接,建立所述客户端至所述目标接入端设备的远程连接会话,双向传输所述客户端的操作数据和所述目标接入端的响应数据,以使运维人员通过所述客户端对所述目标接入端进行远程操作。
2.如权利要求1所述的设备远程连接方法,其特征在于,所述接收客户端的远程连接请求之前,还包括;
接收接入端设备的注册信息,对所述注册信息进行验证,存储注册成功的接入端设备的信息;
提供远程连接操作界面,以使客户端登录Web服务,检索注册成功的接入端设备,并选择目标接入端设备。
3.如权利要求1所述的设备远程连接方法,其特征在于,所述建立所述客户端至所述目标接入端设备的远程连接会话包括:
为远程连接会话创建第一临时服务端口和第二临时服务端口,所述第一临时服务端口用于连通接入端设备,所述第二临时服务端口用于连通所述客户端。
4.如权利要求3所述的设备远程连接方法,其特征在于,所述双向传输所述客户端的操作数据和所述目标接入端的响应数据包括:
创建外部服务端口,通过所述外部服务端口接收所述客户端的操作数据以及所述接入端设备的响应数据,并转发至对应的临时服务端口。
5.如权利要求4所述的远程连接方法,其特征在于,所述通过所述外部服务端口接收所述客户端的操作数据以及所述接入端设备的响应数据,并转发至对应的临时服务端口包括:
当所述外部服务端口接收的数据为所述客户端的操作数据,将所述操作数据发送至第二临时服务端口,以使所述第二临时服务端口转发所述操作数据至第一临时服务端口,由所述第一临时服务端口转发至所述接入端设备;
当所述外部服务端口接收的数据为所述接入端设备的响应数据,将所述响应数据发送至第一临时服务端口,以使所述第一临时服务端口转发所述响应数据至第二临时服务端口,由所述第二临时服务端口转发至所述客户端。
6.如权利要求1所述的设备远程连接方法,其特征在于,还包括:
监控所述远程连接会话的空闲时长,当所述空闲时长达到预设阈值时,关闭所述远程连接会话。
7.如权利要求2所述的设备远程连接方法,其特征在于,还包括:
记录双向传输的数据,生成操作日志,基于所述远程连接会话的标识存储所述操作日志。
8.如权利要求7所述的设备远程连接方法,其特征在于,还包括:
接收所述客户端针对操作日志的获取请求,根据所述获取请求中的远程连接会话的标识,将对应的操作日志显示在所述远程连接操作界面。
9.一种设备远程连接装置,应用于运维平台,其特征在于,包括:
远程连接请求接收模块,用于接收客户端的远程连接请求,所述远程连接请求包括目标接入端设备;
WebSocket连接管理模块,用于在所述目标接入端设备与所述运维平台未建立WebSocket连接时,采用消息队列的方式通知所述目标接入端设备向所述运维平台发送建立WebSocket连接的请求,并建立WebSocket连接;
连接会话建立模块,用于通过所述WebSocket连接,建立所述客户端至所述目标接入端设备的远程连接会话,双向传输所述客户端的操作数据和所述目标接入端的响应数据,以使运维人员通过所述客户端对所述目标接入端进行远程操作。
10.如权利要求9所述的设备远程连接装置,其特征在于,还包括:
注册模块,用于接收接入端设备的注册信息,对所述注册信息进行验证,存储注册成功的接入端设备的信息;
Web服务模块,用于提供远程连接操作界面,以使客户端登录Web服务,检索注册成功的接入端设备,并选择目标接入端设备。
11.如权利要求9所述的设备远程连接装置,其特征在于,还包括:
会话监控模块,用于监控所述远程连接会话的空闲时长,当所述空闲时长达到预设阈值时,关闭所述远程连接会话。
12.如权利要求9所述的设备远程连接装置,其特征在于,还包括:
日志管理模块,用于记录双向传输的数据,生成操作日志,基于所述远程连接会话的标识存储所述操作日志。
13.如权利要求12所述的设备远程连接装置,其特征在于,所述日志管理模块还用于接收所述客户端针对操作日志的获取请求,根据所述获取请求中的远程连接会话的标识,将对应的操作日志显示在所述远程连接操作界面。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被执行时实现如权利要求1-8中任意一项所述方法的步骤。
15.一种计算机设备,包括处理器、存储器和存储于所述存储器上的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-8中任意一项所述方法的步骤。
CN202310369280.2A 2023-04-07 2023-04-07 一种设备远程连接方法、装置、介质及系统 Pending CN116614487A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310369280.2A CN116614487A (zh) 2023-04-07 2023-04-07 一种设备远程连接方法、装置、介质及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310369280.2A CN116614487A (zh) 2023-04-07 2023-04-07 一种设备远程连接方法、装置、介质及系统

Publications (1)

Publication Number Publication Date
CN116614487A true CN116614487A (zh) 2023-08-18

Family

ID=87682542

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310369280.2A Pending CN116614487A (zh) 2023-04-07 2023-04-07 一种设备远程连接方法、装置、介质及系统

Country Status (1)

Country Link
CN (1) CN116614487A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116760648A (zh) * 2023-08-22 2023-09-15 上海金电网安科技有限公司 安全服务方法、装置、电子设备及存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116760648A (zh) * 2023-08-22 2023-09-15 上海金电网安科技有限公司 安全服务方法、装置、电子设备及存储介质
CN116760648B (zh) * 2023-08-22 2023-11-17 上海金电网安科技有限公司 安全服务方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
EP4026297B1 (en) Honeypots for infrastructure-as-a-service security
US8650277B2 (en) Method, system, and computer readable medium for gathering usage statistics
US11075821B2 (en) Method and apparatus for managing field device based on cloud server
US20180191471A1 (en) Active Flow Diagnostics for Cloud-Hosted Networks
US10558446B2 (en) Methods, systems, and computer program products for monitoring and control of a changes to computer apparatus and/or virtual machines by means of a management system via a network
US20160366233A1 (en) Private Cloud as a service
US8010971B2 (en) Voice over internet protocol remote upgrading
CN108848145B (zh) 通过web代理访问设备近端网管的方法、系统及远端网管
US11876829B2 (en) Method for emulating a known attack on a target computer network
JP2018518862A (ja) グローバル仮想ネットワーク(gvn)において仮想インタフェースとアドバンストスマートルーティングとを提供するためのシステム及び方法
CN109347700B (zh) 一种测试方法、装置、电子设备和存储介质
JP2019522282A (ja) クラウドコンピューティングノードのセキュアな設定
CN105391744A (zh) 一种管理监控设备的方法及系统
US9716623B2 (en) Automatic and secure activation of a universal plug and play device management device
CN109240887A (zh) 应用程序运行状态的远程监控方法、监控端及监控服务器
CN108289074B (zh) 用户账号登录方法及装置
CN110855666A (zh) 基于端云协同的网关设备激活方法、装置、设备及介质
US20170230242A1 (en) Dynamic Elastic Shadow Service Orchestrator
CN103810420B (zh) 一种应用防卸载方法和系统
CN116614487A (zh) 一种设备远程连接方法、装置、介质及系统
CN112187532A (zh) 一种节点管控方法及系统
CN108495082A (zh) 一种基于云平台的视频监控系统
CN115118705A (zh) 一种基于微服务的工业边缘管控平台
CN111726328A (zh) 用于对第一设备进行远程访问的方法、系统以及相关设备
CN105404795B (zh) 基于云计算的软件安装权限控制方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination