專利名稱:一種基于ssh�、sftp隧道智能管控系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于SSH、SFTP隧道智能管控系統(tǒng)及方法��。
背景技術(shù):
SSH (Secure Siell)協(xié)議是一種在不安全的網(wǎng)絡(luò)環(huán)境中,通過加密和認(rèn)證機(jī)制���,實(shí)現(xiàn)安全的遠(yuǎn)程訪問以及文件傳輸?shù)葮I(yè)務(wù)的網(wǎng)絡(luò)安全協(xié)議��。SSH協(xié)議具有以下一些優(yōu)點(diǎn)數(shù)據(jù)傳輸采用密文的方式�����,保證信息交互的機(jī)密性����; 用戶的認(rèn)證信息以密文的方式傳輸��,可以有效地防止用戶信息被竊聽����;除了傳統(tǒng)的密碼認(rèn)證,SSH服務(wù)器還可以采用多種方式對用戶進(jìn)行認(rèn)證⑶卩安全性級別更高的公鑰認(rèn)證)��,提高了用戶認(rèn)證的強(qiáng)度����;客戶端和服務(wù)器端之間通信使用的加解密密鑰���,都是通過密鑰交互過程動(dòng)態(tài)生成的,可以防止對加解密密鑰的暴力猜測�����,安全性級別比手工配置密鑰的方式高�; 為客戶端提供了認(rèn)證服務(wù)器的功能,可以防止“偽服務(wù)器欺騙”���。SFTP (Secure File Transfer Protocol)利用SSH協(xié)議提供的安全通道�,實(shí)現(xiàn)對網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程文件操作��,是SSH協(xié)議中規(guī)定的一項(xiàng)擴(kuò)展應(yīng)用?����,F(xiàn)有的隧道管控中����,運(yùn)用SSH����、SFTP訪問和操作的管控機(jī)制,但是,傳統(tǒng)的訪問SSH���、SFTP服務(wù)的方式�,存在諸多不安群因素���。
發(fā)明內(nèi)容
針對以上不足���,本發(fā)明提供一種基于SSH、SFTP隧道智能管控系統(tǒng)及方法����。本發(fā)明解決上述技術(shù)問題的技術(shù)方案如下一種基于SSH、SFTP隧道智能管控系統(tǒng)��,它包括客戶端���、服務(wù)器���、傳輸單元和認(rèn)證單元,它還包括命令可控單元��,
所述命令可控單元���,捕獲客戶端使用的操作命令����,并對該操作命令的可行性進(jìn)行判斷及處理。進(jìn)一步的�����,它還包括可視單元���,
所述可視單元���,客戶端可直接顯示服務(wù)器上的操作過程及其運(yùn)行結(jié)果,實(shí)現(xiàn)SSH服務(wù)的實(shí)時(shí)監(jiān)控功能��。一種采用基于SSH�����、SFTP隧道智能管控系統(tǒng)的隧道智能管控的方法����,它包括以下步驟
步驟1 客戶端向服務(wù)器發(fā)送認(rèn)證請求�����; 步驟2 服務(wù)器接收認(rèn)證請求,并驗(yàn)證���; 步驟3 客戶端認(rèn)證成功��,進(jìn)行相關(guān)操作���;
步驟4 服務(wù)器捕獲客戶端的操作命令,并對該操作命令的可行性進(jìn)行判斷及處理���。進(jìn)一步的���,它還包括以下步驟 步驟5 客戶端向服務(wù)器發(fā)出可視請求;
步驟6 服務(wù)器將所記錄的客戶端的操作行為及其結(jié)果返回客戶端���;步驟7 客戶端接收服務(wù)端傳送的數(shù)據(jù)并顯示���。進(jìn)一步的,步驟4包括以下子步驟
步驟4. 1 服務(wù)器捕獲客戶端的操作命令�����; 步驟4. 2 服務(wù)器將捕獲的操作命令與服務(wù)器內(nèi)的命令黑白名單進(jìn)行比對; 步驟4. 3 服務(wù)器將屬于命令黑名單的操作命令作出阻斷或禁止執(zhí)行的處理����,并發(fā)出警告信息;使命令白名單的操作命令繼續(xù)執(zhí)行�。進(jìn)一步的,步驟4. 3為服務(wù)器對非法或無權(quán)限命令進(jìn)行阻斷和告警處理����;違反安全策略的操作命令,將被禁止執(zhí)行并發(fā)出告警信息���。進(jìn)一步的���,認(rèn)證請求的方式包括密碼認(rèn)證和公鑰認(rèn)證。本發(fā)明的有益效果是使隧道的管理和運(yùn)行可視��、可控和可管理����,系統(tǒng)管理員可以直觀的了解服務(wù)器上發(fā)生過的操作命令及其運(yùn)行結(jié)果,實(shí)現(xiàn)SSH服務(wù)的實(shí)時(shí)監(jiān)控功能���,解決SSH����、SFTP服務(wù)器系統(tǒng)級別的安全問題����、安全威脅,為企業(yè)IT環(huán)境中服務(wù)器的正常有序運(yùn)行��,提供可靠的安全保障����。
圖1為本發(fā)明隧道智能管控系統(tǒng)結(jié)構(gòu)框圖; 圖2為本發(fā)明隧道智能管控方法的流程圖3為客戶端認(rèn)證的流程圖��。
具體實(shí)施例方式以下結(jié)合附圖對本發(fā)明的原理和特征進(jìn)行描述���,所舉實(shí)例只用于解釋本發(fā)明���,并非用于限定本發(fā)明的范圍。如圖1所示��,一種基于SSH��、SFTP隧道智能管控系統(tǒng)�����,它包括客戶端、服務(wù)器���、傳輸單元和認(rèn)證單元�,它還包括命令可控單元�,
所述命令可控單元,捕獲客戶端使用的操作命令�,并對該操作命令的可行性進(jìn)行判斷及處理。一種采用基于SSH�、SFTP隧道智能管控系統(tǒng)的隧道智能管控的方法,它包括以下步驟
步驟1 客戶端向服務(wù)器發(fā)送認(rèn)證請求��; 步驟2 服務(wù)器接收認(rèn)證請求��,并驗(yàn)證��; 步驟3 客戶端認(rèn)證成功�����,進(jìn)行相關(guān)操作����;
步驟4 服務(wù)器捕獲客戶端的操作命令�,并對該操作命令的可行性進(jìn)行判斷及處理���。它還包括可視單元,
所述可視單元���,客戶端可直接顯示服務(wù)器上的操作過程及其運(yùn)行結(jié)果����,實(shí)現(xiàn)SSH服務(wù)的實(shí)時(shí)監(jiān)控功能�����。如圖2所示����,一種采用基于SSH、SFTP隧道智能管控系統(tǒng)的隧道智能管控的方法���, 它包括以下步驟
步驟1 客戶端向服務(wù)器發(fā)送認(rèn)證請求����;步驟2 服務(wù)器接收認(rèn)證請求,并處理����; 步驟3 客戶端認(rèn)證成功,進(jìn)行相關(guān)操作���;
步驟4 服務(wù)器捕獲客戶端的操作命令��,并對該操作命令的可行性進(jìn)行判斷及處理�。步驟5 客戶端向服務(wù)器發(fā)出可視請求���;
步驟6 服務(wù)器將所記錄的客戶端的操作行為及其結(jié)果返回客戶端��; 步驟7 客戶端接收服務(wù)端傳送的數(shù)據(jù)并顯示�����。步驟4包括以下子步驟
步驟4. 1 服務(wù)器捕獲客戶端的操作命令���; 步驟4. 2 服務(wù)器將捕獲的操作命令與服務(wù)器內(nèi)的命令黑白名單進(jìn)行比對; 步驟4. 3 服務(wù)器將屬于命令黑名單的操作命令作出阻斷或禁止執(zhí)行的處理���,并發(fā)出警告信息���;使命令白名單的操作命令繼續(xù)執(zhí)行��。步驟4. 3為服務(wù)器對非法或無權(quán)限命令進(jìn)行阻斷和告警處理��;違反安全策略的操作命令����,將被禁止執(zhí)行并發(fā)出告警信息����。認(rèn)證請求的方式包括密碼認(rèn)證和公鑰認(rèn)證����。本發(fā)明采用java語言編寫的程序如下 執(zhí)行遠(yuǎn)程Shell腳本
*OTitle:執(zhí)行遠(yuǎn)程Shell腳本
氺 OCopyright: Copyright (c) 201007 氺 OCompany: si-tech 氺 Oauthor zengls
*Oversion 1. O
氺 iparam ip 5 IP 氺 iparam port :5Π
*iparam userName 遠(yuǎn)端主機(jī)用戶名
*iparam password 遠(yuǎn)端主機(jī)密碼
*iparam remotePath 遠(yuǎn)端文件目錄路徑氺 iparam video id
public static void executeRemoteShell(String ip,String port,String userName, String password,
String shell,int videoid) 2、獲取SFTP連接
/林
* Title:獲取SFTP連接
水 Copyright: Copyright (c) 201007 氺 Company si-tech 氺 author zengls* version 1. 0
氺 param ip: ^ IP 氺 param port :Π
* param user Name 遠(yuǎn)端主機(jī)用戶名
* param password :遠(yuǎn)端主機(jī)密碼
V
public static FTPClient getSftpConnection(String ip�����,String port,String userName, String password,
TbBusiDeployVideorecordDao dao���,TbBusiDeployVideorecordObj dvobj)
3����、斷開連接Sftp連接
*OTitle:斷開連接Sftp連接
氺 OCopyright: Copyright (c) 201007 氺 OCompany: si-tech 氺 Oauthor zengls
*Oversion 1. O
氺 iparam sftp:sftp 3
public static void quitSftpConnection(FTPClient sftp,TbBusiDeployVideorecordDao dao, TbBusiDeployVideorecordObj dvobj)
4�����、遞歸遠(yuǎn)程文件下載到本地目錄
*OTitle:遞歸遠(yuǎn)程文件下載到本地目錄氺 OCopyright: Copyright (c) 201007
氺 OCompany: si-tech 氺 Oauthor zengls
*Oversion 1. O
氺 iparam sftp: sftp 3
*iparam remotePath 遠(yuǎn)端文件目錄路徑
*iparam IocalPath 本地文件目錄路徑
pub lie static void recursionDownload (FTPC1ient sftp,String remotePath, String IocalPathj
TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
5�、遞歸創(chuàng)建遠(yuǎn)程目錄
*OTitle:遞歸創(chuàng)建遠(yuǎn)程目錄
氺 OCopyright: Copyright (c) 201007 氺 OCompany: si-tech氺 Oauthor zengls
*Oversion 1. O
氺 iparam remotePath :5 ^ @ 5
private static void recursionMkdir(FTPClient sftp,String remotePath)
6�����、本地文件遞歸上傳遠(yuǎn)程目錄
*OTitle:本地文件遞歸上傳遠(yuǎn)程目錄氺 OCopyright: Copyright (c) 201007 氺 OCompany: si-tech
氺 Oauthor zengls
*Oversion 1. O
*iparam remotePath 遠(yuǎn)端文件目錄路徑
*iparam IocalPath 本地文件目錄路徑
pub lie static void recursionUpload(FTPClient sftp ,String remotePath, String IocalPath�,TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
7��、遞歸清空遠(yuǎn)程目錄
*OTitle:遞歸清空遠(yuǎn)程目錄
氺 OCopyright: Copyright (c) 201007 氺 OCompany: si-tech 氺 Oauthor zengls
*Oversion 1. O
*iparam remotePath 遠(yuǎn)端文件目錄路徑 “
public static void recursionDelete(FTPClient sftp,String remotePath, TbB UsiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj)
8��、下載指定遠(yuǎn)程文件到本地
*OTitle 下載指定遠(yuǎn)程文件到本地
氺 OCopyright: Copyright (c) 201007 氺 OCompany: si-tech 氺 Oauthor zengls
*Oversion 1. O
*iparam remoteFi IeName 遠(yuǎn)端文件氺 iparam IocalPath :^ ! public static void downIoadRemoteFiIeToLocal (FTPClient sftp����,String remoteFiIeNamej String IocalPathj
TbBusiDeployVideorecordDao dao,TbBusiDeployVideorecordObj dvobj) 9����、本地指定文件上傳遠(yuǎn)程目錄
*OTitle:本地指定文件上傳遠(yuǎn)程目錄氺 OCopyright: Copyright (c) 201007 氺 OCompany: si-tech
氺 Oauthor zengls
*Oversion 1. O
*iparam remotePath 遠(yuǎn)端文件目錄路徑
*iparam IocalFileName 本地文件
public static void upIoadLocalFiIeToRemote(FTPClient sftp, String remotePath, String IocalFileNamej
TbBusiDeployVideorecordDao dao, TbBusiDeployVideorecordObj dvobj) 如圖3所示�,客戶端認(rèn)證過程如下
(1)客戶端向服務(wù)器端發(fā)送認(rèn)證請求�����,其中攜帶的認(rèn)證方式為“none”�����。(2)服務(wù)器收到none方式認(rèn)證請求��,回復(fù)認(rèn)證挑戰(zhàn)報(bào)文�,其中攜帶服務(wù)器支持、且需要該用戶完成的認(rèn)證方式列表���。(3)客戶端從服務(wù)器發(fā)送給自己的認(rèn)證方式列表中選擇某種認(rèn)證方式,向服務(wù)器發(fā)起認(rèn)證請求����,認(rèn)證請求中包含用戶名、認(rèn)證方法�����、與該認(rèn)證方法相關(guān)的內(nèi)容
密碼認(rèn)證方式中�����,內(nèi)容為用戶的密碼;
公鑰認(rèn)證方式中�����,內(nèi)容為用戶本地密鑰對的公鑰部分(公鑰驗(yàn)證階段)或者數(shù)字簽名 (數(shù)字簽名驗(yàn)證階段)��。(4)服務(wù)器接收到客戶端的認(rèn)證請求�,驗(yàn)證客戶端的認(rèn)證信息
密碼認(rèn)證方式服務(wù)器將客戶端發(fā)送的用戶名和密碼信息,與設(shè)備上或者遠(yuǎn)程認(rèn)證服務(wù)器上保存的用戶名和密碼進(jìn)行比較����,從而判斷認(rèn)證成功或失敗。公鑰認(rèn)證方式服務(wù)器對公鑰進(jìn)行合法性檢查��,如果不合法����,則認(rèn)證失敗����;否則, 服務(wù)器利用數(shù)字簽名對客戶端進(jìn)行認(rèn)證�,從而判斷認(rèn)證成功或失敗��。(5)服務(wù)器根據(jù)本端上該用戶的配置����,以及用戶認(rèn)證的完成情況�,決定是否需要客戶端繼續(xù)認(rèn)證,分為以下幾種情況
如果該種認(rèn)證方式認(rèn)證成功�����,且該用戶不需要繼續(xù)完成其他認(rèn)證����,則服務(wù)器回復(fù)認(rèn)證成功消息,認(rèn)證過程順利完成���。如果該種認(rèn)證方式認(rèn)證成功�,但該用戶還需要繼續(xù)完成其他認(rèn)證�,則回復(fù)認(rèn)證失敗消息����,繼續(xù)向客戶端發(fā)出認(rèn)證挑戰(zhàn),在報(bào)文中攜帶服務(wù)器需要客戶端繼續(xù)完成的認(rèn)證方式列表��;
如果該種認(rèn)證方式認(rèn)證失敗,用戶的認(rèn)證次數(shù)尚未到達(dá)認(rèn)證次數(shù)的最大值�,服務(wù)器繼續(xù)向客戶端發(fā)送認(rèn)證挑戰(zhàn);如果該種認(rèn)證方式認(rèn)證失敗��,且用戶的認(rèn)證次數(shù)達(dá)到認(rèn)證次數(shù)的最大值����,用戶認(rèn)證失敗�,服務(wù)器斷開和客戶端之間的連接。 以上所述僅為本發(fā)明的較佳實(shí)施例�,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改��、等同替換���、改進(jìn)等���,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種基于SSH���、SFTP隧道智能管控系統(tǒng)�����,它包括客戶端��、服務(wù)器�、傳輸單元和認(rèn)證單元�����,其特征在于它還包括命令可控單元�����,所述命令可控單元���,捕獲客戶端使用的操作命令����,并對該操作命令的可行性進(jìn)行判斷及處理����。
2.根據(jù)權(quán)利要求1所述的基于SSH、SFTP隧道智能管控系統(tǒng)��,其特征在于它還包括可視單元�����,所述可視單元�,客戶端可直接顯示服務(wù)器上的操作過程及其運(yùn)行結(jié)果,實(shí)現(xiàn)SSH服務(wù)的實(shí)時(shí)監(jiān)控功能�。
3.一種采用權(quán)利要求1所述的基于SSH、SFTP隧道智能管控系統(tǒng)的隧道智能管控方法����, 其特征在于它包括以下步驟步驟1 客戶端向服務(wù)器發(fā)送認(rèn)證請求; 步驟2 服務(wù)器接收認(rèn)證請求�����,并驗(yàn)證; 步驟3 客戶端認(rèn)證成功��,進(jìn)行相關(guān)操作�;步驟4 服務(wù)器捕獲客戶端的操作命令,并對該操作命令的可行性進(jìn)行判斷及處理�。
4.根據(jù)權(quán)利要求3所述的基于SSH、SFTP隧道智能管控方法�,其特征在于它還包括以下步驟步驟5 客戶端向服務(wù)器發(fā)出可視請求;步驟6 服務(wù)器將所記錄的客戶端的操作行為及其結(jié)果返回客戶端���; 步驟7 客戶端接收服務(wù)端傳送的數(shù)據(jù)并顯示����。
5.根據(jù)權(quán)利要求3或4所述的基于SSH����、SFTP隧道智能管控的方法,其特征在于所述步驟4包括以下子步驟步驟4. 1 服務(wù)器捕獲客戶端的操作命令����; 步驟4. 2 服務(wù)器將捕獲的操作命令與服務(wù)器內(nèi)的命令黑白名單進(jìn)行比對; 步驟4. 3:服務(wù)器將屬于命令黑名單的操作命令作出阻斷或禁止執(zhí)行的處理��,并發(fā)出警告信息;使命令白名單的操作命令繼續(xù)執(zhí)行�����。
6.根據(jù)權(quán)利要求5所述的基于SSH���、SFTP隧道智能管控的方法,其特征在于所述步驟 4. 3為服務(wù)器對非法或無權(quán)限命令進(jìn)行阻斷和告警處理����;違反安全策略的操作命令,將被禁止執(zhí)行并發(fā)出告警信息��。
7.根據(jù)權(quán)利要求3或4所述的基于SSH���、SFTP隧道智能管控的方法�����,其特征在于所述認(rèn)證請求的方式包括密碼認(rèn)證和公鑰認(rèn)證����。
全文摘要
本發(fā)明涉及一種基于SSH�����、SFTP隧道智能管控系統(tǒng),它包括傳輸單元和認(rèn)證單元���,它還包括命令可控單元���,命令可控單元,捕獲客戶端使用的操作命令�����,并對該操作命令的可行性進(jìn)行判斷及處理����。本發(fā)明還涉及一種基于SSH、SFTP隧道智能管控方法���。本發(fā)明的有益效果是使隧道的管理和運(yùn)行可視��、可控和可管理����,解決SSH����、SFTP服務(wù)器系統(tǒng)級別的安全問題����、安全威脅�����,為企業(yè)IT環(huán)境中服務(wù)器的正常有序運(yùn)行����,提供可靠的安全保障�。
文檔編號H04L29/06GK102333068SQ20111006609
公開日2012年1月25日 申請日期2011年3月18日 優(yōu)先權(quán)日2011年3月18日
發(fā)明者曾林生 申請人:北京神州數(shù)碼思特奇信息技術(shù)股份有限公司