专利名称:安全终端仿真协议监控时实现加密文件传输和跟踪的方法
技术领域:
本发明属于安全终端仿真协议监控技术领域,具体是涉及一种安全终端仿真协议 监控时实现加密文件传输和跟踪的方法。
背景技术:
终端仿真协议是用于维护UNIX或者LINUX服务器的常用协议,早期基于TCP/IP 网络终端仿真的比较流行的协议有TELNET和RLOGIN两种,但由于它们在网络传输的过程 中采用明文的方式,这产生了很大的安全隐患。同时这两种协议均只支持字符终端访问的 模式,并不支持文件传输,如果需要与服务器进行文件传输还需要FTP或者SAMBA之类的文 件传输协议进行辅助,使用起来很不方便,因此这两种协议逐步地被传输更安全、功能更强 大的安全终端仿真协议(以下简称SSH协议)所取代。SSH协议采用SSL非对称加密的方法 使得网络数据传输更为安全,SSH协议还通过虚拟通道的方法使得在同一个TCP连接上除 了提供终端仿真之外还可以进行加密文件的传输,即SFTP协议,极大地方便了服务器维护 人员。正是由于SSH协议的安全性,通过常用的旁路抓取数据包的方式是无法从中获得有 效数据的,因此如果需要对基于SSH的远程访问操作进行监控,就必须在监控系统上对SSH 协议进行二次登陆或者代理,否则就无法从加密的数据中还原出维护人员的操作。所谓二 次登录,就是操作人员首先通过SSH协议登录到监控系统上,监控系统为已授权的操作人 员提供友好的菜单界面,操作人员可以在菜单内选择自己所需要登录的服务器直接进行登 录。所谓代理,就是操作人员将监控系统指定为SSH协议的代理服务器,所有的SSH协议访 问均以监控系统作为代理来访问目标服务器。综上所述,根据二次登陆或者代理的原理可 以知道,操作人员发起的SSH协议连接在监控系统上进行了终结,所有对维护的目标服务 器的连接都是由监控系统发起的,这样监控系统对客户端而言是服务器,而对服务器端而 言是客户端,通过这种方法可以很方便地反解析操作行为。这样可以满足了对SSH协议的 监控,但是由于在这种情况下,客户端的SSH协议连接是与监控系统建立的,同样服务器端 的SSH协议连接也是与监控系统建立的,因此在客户端和服务器端之间无法直接建立加密 文件传输的通道,使得加密文件的传输以及全过程跟踪就变得非常困难。
发明内容
本发明主要是解决现有技术所存在的技术问题,提供了一种安全终端仿真协议监 控时实现加密文件传输和跟踪的方法。本发明的上述技术问题主要是通过下述技术方案得以解决的一种安全终端仿真 协议监控时实现加密文件传输和跟踪的方法,其实现步骤为⑴监控系统对SSH协议进行 二次登录或代理,客户端向监控系统发起开启文件传输虚拟通道的请求,并请求一个标识, 监控系统响应该开启文件传输虚拟通道的请求,协商完成后在监控系统和客户端之间建立 一个新的文件传输通道;⑵监控系统同时向服务器端发起开启文件传输虚拟通道的请求, 并请求一个标识,服务器端响应该开启文件传输虚拟通道的请求,协商完成后在服务器端和监控系统之间也建立一个新的文件传输通道;⑶监控系统根据请求的标识将两端所有的 文件传输通道一一对应地映射起来,即将文件传输虚拟通道连通;⑷监控系统根据客户端 发送来的通道请求,分析是请求目录结构还是请求文件传输如果是请求目录结构,则直接 通过映射到监控系统本地的目录结构模块返回;如果是请求上传文件,则开启一个线程来 接收客户端的文件数据流,同时将文件通过监控系统与服务器之间的文件传输通道上传到 服务器端;如果是请求下载文件,则开启一个线程将文件从服务器端下载到监控系统,并同 时将文件通过监控系统与客户端之间的文件传输通道传输到客户端;(5)在监控系统的面向 客户端模块上对客户端发起的请求进行反解析即可对用户文件操作进行跟踪。
作为优选,所述步骤⑷中文件数据流都先写入到监控系统中文件缓冲模块的文件 传输缓冲区,如果待传输的文件在文件传输缓冲区内本身就存在,则直接使用文件传输缓 冲区内的文件完成传输即可。作为优选,所述步骤⑷在对加密文件传输进行转发的过程中,所有客户端发起的 请求都由监控系统中面向客户端模块来响应,面向客户端模块接收到客户端的请求后,首 先分析该请求是对目录结构的请求还是对文件传输的请求,然后把对目录结构的请求交给 目录结构映射模块处理,把文件传输请求交给文件缓冲模块处理,最后这两个模块分别通 过面向服务器模块完成向服务器端目录结构同步和文件传输的任务。本发明克服了现有安全终端仿真协议技术中在客户端和服务器端之间直接进行 加密文件传输和全过程跟踪不能实现的缺陷,通过本发明的技术手段在满足了对安全终端 仿真协议进行监控的前提下,还实现了在客户端和服务器端之间直接进行加密文件传输和 全过程跟踪,操作简单易行。
图1是本发明的一种原理结构示意图。
具体实施例方式下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。实施例本发明一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法, 其实现步骤为⑴监控系统对SSH协议进行二次登录或代理,客户端向监控系统发起开启 文件传输虚拟通道的请求,并请求一个标识,监控系统响应该开启文件传输虚拟通道的请 求,协商完成后在监控系统和客户端之间建立一个新的文件传输通道;⑵监控系统同时向 服务器端发起开启文件传输虚拟通道的请求,并请求一个标识,服务器端响应该开启文件 传输虚拟通道的请求,协商完成后在服务器端和监控系统之间也建立一个新的文件传输通 道;⑶监控系统根据请求的标识将两端所有的文件传输通道一一对应地映射起来,即将文 件传输虚拟通道连通;⑷监控系统根据客户端发送来的通道请求,分析是请求目录结构还 是请求文件传输如果是请求目录结构,则直接通过映射到监控系统本地的目录结构模块 返回;如果是请求上传文件,则开启一个线程来接收客户端的文件数据流,同时将文件通过 监控系统与服务器之间的文件传输通道上传到服务器端;如果是请求下载文件,则开启一 个线程将文件从服务器端下载到监控系统,并同时将文件通过监控系统与客户端之间的文 件传输通道传输到客户端;(5)在监控系统的面向客户端模块上对客户端发起的请求进行反解析即可对用户文件操作进行跟踪。
考虑到文件传输速度有差异,其中步骤⑷中文件数据流都先写入到监控系统中文 件缓冲模块的文件传输缓冲区,如果待传输的文件在文件传输缓冲区内本身就存在,则直 接使用文件传输缓冲区内的文件完成传输即可。参看图1,步骤⑷在对加密文件传输进行转发的过程中,所有客户端发起的请求都 由监控系统中面向客户端模块来响应,面向客户端模块接收到客户端的请求后,首先分析 该请求是对目录结构的请求还是对文件传输的请求,然后把对目录结构的请求交给目录结 构映射模块处理,把文件传输请求交给文件缓冲模块处理,最后这两个模块分别通过面向 服务器模块完成向服务器端目录结构同步和文件传输的任务。本发明克服了现有安全终端仿真协议技术中在客户端和服务器端之间直接进行 加密文件传输和全过程跟踪不能实现的缺陷,通过本发明的技术手段在满足了对安全终端 仿真协议进行监控的前提下,还实现了在客户端和服务器端之间直接进行加密文件传输和 全过程跟踪,操作简单易行。最后,应当指出,以上实施例仅是本发明较有代表性的例子。显然,本发明的技术 方案并不限于上述实施例,还可以有许多变形。本领域的普通技术人员能从本发明公开的 内容直接导出或联想到的所有变形,均应认为是本发明的保护范围。
权利要求
一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法,其特征在于所述方法的实现步骤为⑴监控系统对SSH协议进行二次登录或代理,客户端向监控系统发起开启文件传输虚拟通道的请求,并请求一个标识,监控系统响应该开启文件传输虚拟通道的请求,协商完成后在监控系统和客户端之间建立一个新的文件传输通道;⑵监控系统同时向服务器端发起开启文件传输虚拟通道的请求,并请求一个标识,服务器端响应该开启文件传输虚拟通道的请求,协商完成后在服务器端和监控系统之间也建立一个新的文件传输通道;⑶监控系统根据请求的标识将两端所有的文件传输通道一一对应地映射起来,即将文件传输虚拟通道连通;⑷监控系统根据客户端发送来的通道请求,分析是请求目录结构还是请求文件传输如果是请求目录结构,则直接通过映射到监控系统本地的目录结构模块返回;如果是请求上传文件,则开启一个线程来接收客户端的文件数据流,同时将文件通过监控系统与服务器之间的文件传输通道上传到服务器端;如果是请求下载文件,则开启一个线程将文件从服务器端下载到监控系统,并同时将文件通过监控系统与客户端之间的文件传输通道传输到客户端;⑸在监控系统的面向客户端模块上对客户端发起的请求进行反解析即可对用户文件操作进行跟踪。
2.根据权利要求1所述的安全终端仿真协议监控时实现加密文件传输和跟踪的方法, 其特征在于所述步骤⑷中文件数据流都先写入到监控系统中文件缓冲模块的文件传输缓 冲区,如果待传输的文件在文件传输缓冲区内本身就存在,则直接使用文件传输缓冲区内 的文件完成传输即可。
3.根据权利要求1或2所述的安全终端仿真协议监控时实现加密文件传输和跟踪的方 法,其特征在于所述步骤⑷在对加密文件传输进行转发的过程中,所有客户端发起的请求 都由监控系统中面向客户端模块来响应,向客户端模块接收到客户端的请求后,首先分析 该请求是对目录结构的请求还是对文件传输的请求,然后把对目录结构的请求交给目录结 构映射模块处理,把文件传输请求交给文件缓冲模块处理,最后这两个模块分别通过面向 服务器模块完成向服务器端目录结构同步和文件传输的任务。
全文摘要
一种安全终端仿真协议监控时实现加密文件传输和跟踪的方法,其实现步骤为⑴监控系统对SSH协议进行二次登录或代理,在监控系统和客户端之间建立一个新的文件传输通道;⑵同时在服务器端和监控系统之间也建立一个新的文件传输通道;⑶监控系统将两端所有的文件传输通道一一对应地映射起来;⑷监控系统根据客户端发送来的通道请求,分析是请求目录结构还是请求文件传输;⑸在监控系统的面向客户端模块上对客户端发起的请求进行反解析即可对用户文件操作进行跟踪。通过本发明的技术手段在满足了对安全终端仿真协议进行监控的前提下,还实现了在客户端和服务器端之间直接进行加密文件传输和全过程跟踪,操作简单易行。
文档编号H04L29/06GK101989987SQ20101053366
公开日2011年3月23日 申请日期2010年11月5日 优先权日2010年11月5日
发明者黄艺海 申请人:黄艺海