跨防火墙的动态通路方法及系统的制作方法

文档序号:7636951阅读:274来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:跨防火墙的动态通路方法及系统的制作方法
技术领域
本发明涉及通信技术领域,特别涉及一种跨防火墙的动态通路方法及系统。
背景技术
在网络技术迅速发展的今天,每个企业可能有很多的服务器,而且服务器出于安全等各种因素考虑,最终都将放置在某个防火墙之下。若管理人员需要从外部网络连接到某台防火墙内的服务器进行管理,传统的解决方案是对防火墙进行设置,使得通过防火墙将内部服务的某个端口直接暴露到互联网中,但使得内部服务器失去了防火墙的保护,可能存在安全隐患,而且每次访问都需对防火墙 的权限进行设置,操作不便。

发明内容基于此,有必要提供一种通信安全且操作简便的跨防火墙的动态通路方法。一种跨防火墙的动态通路方法,包括以下步骤登录中转服务器;所述中转服务器获取用户选择的管理工具及目标服务器,并根据所述管理工具及目标服务器生成临时密钥并返回;所述管理工具根据所述临时密钥连接至所述中转服务器;所述中转服务器根据所述临时密钥获取目标服务器并与所述目标服务器建立连接;所述管理工具通过所述中转服务器与所述目标服务器进行通信。优选地,所述中转服务器获取用户选择的管理工具及目标服务器的步骤之后还包括验证所述管理工具是否有连接所述目标服务器的权限,若是,则跳转到所述中转服务器根据管理工具及目标服务器生成临时密钥的步骤,若否,则跳转到所述中转服务器获取用户选择的管理工具及目标服务器的步骤。优选地,所述中转服务器获取用户选择的管理工具及目标服务器的步骤还包括所述中转服务器获取用户输入的认证信息;所述验证所述管理工具有连接所述目标服务器的权限的步骤之后,还包括判断所述认证信息是否正确,若是,则跳转到所述中转服务器根据选择的管理工具及目标服务器生成临时密钥的步骤,若否,则跳转所述中转服务器获取用户输入的认证信息的步骤。优选地,在所述中转服务器根据所述临时密钥获取所述目标服务器的步骤之前,还包括所述中转服务器验证所述临时密钥是否有效,若是,则跳转到所述中转服务器根据所述临时密钥获取所述目标服务器,若否,则跳转到所述管理工具根据所述临时密钥连接至所述中转服务器的步骤。优选地,还包括获取对所述生成的临时密钥设置的有效期的步骤;在所述中转服务器根据所述临时密钥获取所述目标服务器的步骤之前,还包括所述中转服务器验证所述临时密钥是否在有效期内,若是,则跳转到所述中转服务器根据所述临时密钥获取所述目标服务器,若否,则跳转到重新登录中转服务器。此外,还有必要提供一种通信安全且操作简便的跨防火墙的动态通路系统。一种跨防火墙的动态通路系统,包括浏览器、管理工具、中转服务器和目标服务器,所述浏览器用于登录中转服务器,获取用户选择的管理工具及目标服务器,并发送给所述中转服务器;所述中转服务器用于接收所述用户选择的管理工具及目标服务器,并根据选择的管理工具及目标服务器生成临时密钥,并返回给所述浏览器;所述管理工具根据所述临时密钥连接至所述中转服务器; 所述中转服务器根据所述临时密钥获取所述目标服务器并与所述目标服务器建立连接;所述管理工具通过所述中转服务器与所述目标服务器进行通信。优选地,所述中转服务器还用于验证所述管理工具是否有连接所述目标服务器的权限,若是,则所述中转服务器根据选择的管理工具及目标服务器生成临时密钥,并返回给所述浏览器,若否,则所述浏览器还用于重新获取用户选择的管理工具及目标服务器并发送给所述中转服务器。优选地,所述浏览器还用于获取用户输入的认证信息并发送给所述中转服务器,所述中转服务器验证到所述管理工具有连接到内部目标服务的权限后,进一步用于判断所述认证信息是否正确,若是,则所述中转服务器根据选择的管理工具及目标服务器生成临时密钥,若否,则所述浏览器重新获取用户输入的认证信息并发送给所述中转服务器。优选地,所述中转服务器还用于验证所述输入的密钥是否有效,若是,则所述中转服务器根据所述临时密钥获取所述目标服务器,若否,则所述管理工具重新根据所述临时密钥连接至所述中转服务器。优选地,所述中转服务器还用于对所述生成的临时密钥设置有效期,所述中转服务器还用于验证所述临时密钥是否在有效期内,若是,则所述中转服务器根据所述临时密钥获取所述目标服务器,若否,则所述浏览器重新登录中转服务器。上述跨防火墙的动态通路方法及系统,采用中转服务器根据用户选择的管理工具及目标服务器生成临时密钥,管理工具根据临时密钥连接中转服务器,中转服务器根据该临时密钥获取到目标服务器,并与该目标服务器建立连接,如此管理工具通过中转服务器与目标服务器进行通信,管理工具与防火墙内的目标服务器之间实现了正常通信,该通信安全且操作简便,不需对防火墙进行权限的设置,防止了防火墙内的目标服务器端口暴露在互联网中而导致不安全的问题。

图I为一个实施例中跨防火墙的动态通路方法流程图;图2为另一个实施例中跨防火墙的动态通路方法流程图;图3为一个实施例中跨防火墙的动态通路系统的结构示意图。
具体实施方式下面结合具体的实施例及附图对技术方案进行详细的描述。如图I所示,在一个实施例中,一种跨防火墙的动态通路方法,包括以下步骤步骤S100,登录中转服务器。用户通过浏览器登录进入中转服务器的Web服务。步骤S110,该中转服务器获取用户选择的管理工具及目标服务器,并根据该管理工具及目标服务器生成临时密钥并返回。用户登录到中转服务器的Web服务界面后,选择管理工具及需要连接到的目标服务器。中转服务器的Web服务界面提供多个管理工具、多个防火墙内的内部服务器。管理工具可为 SSH(Secure Shell,安全外壳协议)、VNC(VirtualNetwork Computing,虚拟网络、计算机)、远程桌面等。其中,SSH是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议;VNC是一种远程控制工具软件。目标服务器是防火墙内的多个内部服务器中,用户选择的需要进行连接的至少一个内部服务器。中转服务器根据不同的管理工具及目标服务器生成不同的临时密钥以及密钥的使用信息。如管理工具为SSH、目标服务器A,中转服务器生成的临时密钥为12345 ;管理工具为VNC、目标服务器B,中转服务器生成的临时密钥为34567。管理工具相同,目标服务器不同也可生成不同的临时密钥,管理工具不同,目标服务器相同,可生成不同的临时密钥。步骤S120,该管理工具根据该临时密钥连接至该中转服务器。管理工具启动后,用户在管理工具的界面上输入临时密钥,管理工具根据该临时密钥与中转服务器建立连接。步骤S130,该中转服务器根据该临时密钥获取目标服务器,并与该目标服务器建立连接。中转服务器与管理工具连接后,根据建立连接的临时密钥,查询得到管理工具需要连接的目标服务器,以及必要的登录信息,登录信息如登录的帐号和密码等。步骤S140,该管理工具通过该中转服务器与目标服务器进行通信。中转服务器与目标服务器建立连接后,管理工具通过中转服务器与目标服务器建立通信通道,两者之间能够进行通信。在另一个实施例中,如图2所示,一种跨防火墙的动态通路方法,包括以下步骤步骤S201,登录中转服务器。用户通过浏览器登录进入中转服务器的Web服务。步骤S203,判断登录是否成功,若是,则执行步骤S205,若否,则跳转到步骤S201。通过浏览器登录中转服务器时,有可能连接失败,使得登录失败,需重新登录。步骤S205,该中转服务器获取用户选择的管理工具、用户输入的认证信息以及目标服务器。认证信息可为服务器管理工具连接目标服务器的帐号和密码等信息,同一服务器管理工具连接到不同内部服务器的认证信息可不同。步骤S207,验证该管理工具是否有连接该目标服务器的权限,若是,则执行步骤S209,若否,则跳转到步骤S205。不同的内部服务器被外部访问的权限可设置相同或不同,用户通过管理工具连接到目标服务器时,需要进行权限的验证,若权限足够,则可以进行下一步,若权限不足,则需要用户重新选择一个内部服务器作为连接的目标服务器。目标服务器可设置允许被哪些管理工具进行访问,也可设置不被任何管理工具访问,验证管理工具是否有权限连接到目标服务器时,可通过获取管理工具的类型与目标服务器设置的允许访问的白名单进行比较验证,看是否在该白名单内。白名单是指允许访问目标服务器的管理工具类型的集合。该白名单可放置在中转服务器上。步骤S209,判断该认证信息是否正确,若是,则执行步骤S211,若否,则执行步骤S205。验证所选择的管理工具具有与目标服务器连接的权限后,需进一步判断两者连接的认证信息是否正确。认证信息是指管理工具连接目标服务器的帐号及密码等信息。步骤S211,该中转服务器根据选择的管理工具及目标服务器生成的临时密钥。中转服务器根据不同的管理工具及目标服务器生成不同的临时密钥以及密钥的使用信息。步骤S211还包括步骤该中转服务器获取对生成的临时密钥设置的有效期。该有效期可为I天、3天等等。 步骤S213,该管理工具根据该临时密钥连接至该中转服务器。管理工具启动后,用户在管理工具的界面上输入临时密钥,管理工具根据该输入的临时密钥与中转服务器建立连接。步骤S215,验证临时密钥是否有效,若是,执行步骤S217,若否,跳转到步骤S213。中转服务器接收到管理工具根据该临时密钥的连接请求后,对该临时密钥进行验证,主要是将该输入的临时密钥与中转服务器根据该管理工具生成的临时密钥进行比较,判断其是否有效,则中转服务器能根据该临时密钥查询到管理工具需要连接的目标服务器。优选的实施例中,中转服务器生成的临时密钥设置有效期,步骤S215具体为验证该临时密钥是否在有效期内,若是,执行步骤S217,若否,执行步骤S201。若输入的临时密钥超过有效期,则需要用户重新通过浏览器登录中转服务器,获取新的临时密钥。步骤S217,中转服务器根据该临时密钥获取目标服务器,并与目标服务器建立连接。中转服务器与管理工具连接后,根据建立连接输入的临时密钥,查询得到管理工具需要连接的目标服务器,以及必要的登录信息,登录信息如登录的帐号和密码等。步骤S219,该管理工具通过该中转服务器与目标服务器进行通信。中转服务器与目标服务器建立连接后,管理工具通过中转服务器与目标服务器建立通信通道,两者能够进行通信。另外,在一个实时例中,步骤S209可以省略,由步骤S207直接跳到步骤S211。如图3所示,在一个实施例中,一种跨防火墙的动态通路系统,包括浏览器300、中转服务器310、管理工具320和目标服务器330。浏览器300用于登录中转服务器,并获取用户选择的管理工具320及需要连接到的目标服务器330,并发送给中转服务器310。用户通过浏览器300登录进入中转服务器310的Web服务。用户登录到中转服务器310的Web服务界面后,选择管理工具320及需要连接到的目标服务器330。中转服务器310的Web服务界面提供多个管理工具320、多个防火墙内的内部服务器。管理工具320可为SSH(Secure Shell,安全外壳协议)、VNC(VirtualNetwork Computing,虚拟网络计算机)、远程桌面等。其中,SSH是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议;VNC是一种远程控制工具软件。目标服务器330是防火墙内的多个内部服务器中,用户选择的需要进行连接的至少一个内部服务器。优选的实施例中,浏览器300登录中转服务器310时,需要验证登录是否成功,若登录成功,则浏览器300才获取到用户选择的管理工具320以及需要连接的目标服务器330,若登录失败,需重新登录。中转服务器310用于获取用户选择的管理工具320及需要连接到的目标服务器330,并根据选择的管理工具320及目标服务器330生成临时密钥,并将临时密钥返回给浏览器300。中转服务器310根据不同的管理工具320及目标服务器330生成不同的临时密钥以及密钥的使用信息。如管理工具320为SSH、目标服务器330为A,中转服务器320生成的临时密钥为12345 ;管理工具320为VNC、目标服务器330为B,中转服务器310生成的临时密钥为34567。管理工具相同,目标服务器不同也可生成不同的临时密钥,管理工具不同,目标服务器相同,可生成不同的临时密钥。
管理工具320根据该临时密钥连接中转服务器310。管理工具320启动后,用户在管理工具320的界面上输入临时密钥,管理工具320根据该输入的临时密钥与中转服务器310建立连接。中转服务器310根据该临时密钥获取需要连接的目标服务器330,并根据该临时密钥与目标服务器330建立连接。中转服务器310与管理工具320连接后,根据建立连接输入的临时密钥,查询得到管理工具320需要连接的目标服务器330,以及必要的登录信息,登录信息如登录的帐号和密码等。管理工具320通过中转服务器310与目标服务器330之间进行通信。优选的实施例中,中转服务器310还用于验证管理工具320是否有连接该目标服务器330的权限,若是,则中转服务器310根据选择的管理工具320及目标服务器330,生成临时密钥,并返回给浏览器300,若否,则浏览器300还用于重新获取用户选择的管理工具320及目标服务器330,并发送给中转服务器310。不同的内部服务器被外部访问的权限可设置相同或不同,用户通过管理工具连接到目标服务器时,需要进行权限的验证,若权限足够,则可以进行下一步,若权限不足,则需要用户重新选择一个内部服务器作为连接的目标服务器。目标服务器330可设置允许被哪些管理工具进行访问,也可设置不被任何管理工具320访问,验证管理工具320是否有权限连接到目标服务器330时,可通过获取管理工具320的类型与目标服务器330设置的允许访问的白名单进行比较验证,看是否在该白名单内。白名单是指允许访问目标服务器330的管理工具类型的集合。该白名单可放置在中转服务器310上。优选的实施例中,浏览器300还用于获取用户输入的认证信息并发送给中转服务器31。中转服务器310验证管理工具320具有连接到目标服务器330的权限后,进一步用于判断认证信息是否正确,若是,则中转服务器310根据选择的管理工具320及目标服务器330,生成临时密钥,若否,则浏览器300重新获取用户输入的认证信息并发送给中转服务器310。认证信息是指管理工具320连接目标服务器330的帐号及密码等信息。优选的实施例中,中转服务器310还用于验证密钥是否有效,若是,则中转服务器310根据临时密钥获取目标服务器330,若否,则管理工具320根据临时密钥连接至中转服务器310。中转服务器310接收到管理工具320根据该临时密钥的连接请求后,对该临时密钥进行验证,主要是将该输入的临时密钥与中转服务器310根据该管理工具320生成的临时密钥进行比较,判断其是否有效,则中转服务器310能根据该临时密钥查询到管理工具320需要连接的目标服务器330。若临时密钥无效,则用户需要重新在管理工具320的界面输入临时密钥,管理工具320根据该临时密钥连接至中转服务器310。优选的实施例中,中转服务器310还用于对生成的临时密钥设置有效期。该有效期可为I天、3天等等。中转服务器310还用于验证该临时密钥是否在有效期内,若是,则中转服务器310根据该临时密钥获取目标服务器330,若否,则浏览器300重新登录中转服务器310。若输入的临时密钥超过有效期,则需要用户重新通过浏览器300登录中转服务器310,获取新的临时密钥。上述跨防火墙的动态通路方法及系统,采用中转服务器根据用户选择的管理工具及目标服务器生成临时密钥,管理工具根据临时密钥连接中转服务器,中转服务器根据该临时密钥获取到需连接的目标服务器,并与该目标服务器建立连接,如此管理工具通过中、转服务器与目标服务器进行通信,管理工具与防火墙内的目标服务器之间实现了正常通信,该通信安全且操作简便,不需对防火墙进行权限的设置,防止了防火墙内的目标服务器端口暴露在互联网中而导致不安全的问题。另外,通过验证管理工具连接目标服务器的权限,使得管理工具与目标服务器连接更加安全;通过验证临时密钥的有效,提高连接安全性;设置临时密钥的有效期,进一步提高了管理工具与目标服务器连接的安全性。以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
权利要求
1.一种跨防火墙的动态通路方法,包括以下步骤 登录中转服务器; 所述中转服务器获取用户选择的管理工具及目标服务器,并根据所述管理工具及目标服务器生成临时密钥并返回; 所述管理工具根据所述临时密钥连接至所述中转服务器; 所述中转服务器根据所述临时密钥获取目标服务器并与所述目标服务器建立连接; 所述管理工具通过所述中转服务器与所述目标服务器进行通信。
2.根据权利要求I所述的跨防火墙的动态通路方法,其特征在于,所述中转服务器获取用户选择的管理工具及目标服务器的步骤之后还包括验证所述管理工具是否有连接所述目标服务器的权限,若是,则跳转到所述中转服务器根据管理工具及目标服务器生成临时密钥的步骤,若否,则跳转到所述中转服务器获取用户选择的管理工具及目标服务器的步骤。
3.根据权利要求2所述的跨防火墙的动态通路方法,其特征在于,所述中转服务器获取用户选择的管理工具及目标服务器的步骤还包括所述中转服务器获取用户输入的认证信息; 所述验证所述管理工具有连接所述目标服务器的权限的步骤之后,还包括判断所述认证信息是否正确,若是,则跳转到所述中转服务器根据选择的管理工具及目标服务器生成临时密钥的步骤,若否,则跳转所述中转服务器获取用户输入的认证信息的步骤。
4.根据权利要求I所述的跨防火墙的动态通路方法,其特征在于,在所述中转服务器根据所述临时密钥获取所述目标服务器的步骤之前,还包括所述中转服务器验证所述临时密钥是否有效,若是,则跳转到所述中转服务器根据所述临时密钥获取所述目标服务器,若否,则跳转到所述管理工具根据所述临时密钥连接至所述中转服务器的步骤。
5.根据权利要求I所述的跨防火墙的动态通路方法,其特征在于,还包括获取对所述生成的临时密钥设置的有效期的步骤; 在所述中转服务器根据所述临时密钥获取所述目标服务器的步骤之前,还包括所述中转服务器验证所述临时密钥是否在有效期内,若是,则跳转到所述中转服务器根据所述临时密钥获取所述目标服务器,若否,则跳转到重新登录中转服务器。
6.一种跨防火墙的动态通路系统,其特征在于,包括浏览器、管理工具、中转服务器和目标服务器, 所述浏览器用于登录中转服务器,获取用户选择的管理工具及目标服务器,并发送给所述中转服务器; 所述中转服务器用于接收所述用户选择的管理工具及目标服务器,并根据选择的管理工具及目标服务器生成临时密钥,并返回给所述浏览器; 所述管理工具根据所述临时密钥连接至所述中转服务器; 所述中转服务器根据所述临时密钥获取所述目标服务器并与所述目标服务器建立连接; 所述管理工具通过所述中转服务器与所述目标服务器进行通信。
7.根据权利要求6所述的跨防火墙的动态通路系统,其特征在于,所述中转服务器还用于验证所述管理工具是否有连接所述目标服务器的权限,若是,则所述中转服务器根据选择的管理工具及目标服务器生成临时密钥,并返回给所述浏览器,若否,则所述浏览器还用于重新获取用户选择的管理工具及目标服务器并发送给所述中转服务器。
8.根据权利要求7所述的跨防火墙的动态通路系统,其特征在于,所述浏览器还用于获取用户输入的认证信息并发送给所述中转服务器,所述中转服务器验证到所述管理工具有连接到内部目标服务的权限后,进一步用于判断所述认证信息是否正确,若是,则所述中转服务器根据选择的管理工具及目标服务器生成临时密钥,若否,则所述浏览器重新获取用户输入的认证信息并发送给所述中转服务器。
9.根据权利要求6所述的跨防火墙的动态通路系统,其特征在于,所述中转服务器还用于验证所述输入的密钥是否有效,若是,则所述中转服务器根据所述临时密钥获取所述目标服务器,若否,则所述管理工具重新根据所述临时密钥连接至所述中转服务器。
10.根据权利要求6所述的跨防火墙的动态通路系统,其特征在于,所述中转服务器还 用于对所述生成的临时密钥设置有效期,所述中转服务器还用于验证所述临时密钥是否在有效期内,若是,则所述中转服务器根据所述临时密钥获取所述目标服务器,若否,则所述浏览器重新登录中转服务器。
全文摘要
本发明涉及一种跨防火墙的动态通路方法及系统。该方法包括以下步骤登录中转服务器;所述中转服务器获取用户选择的管理工具及目标服务器,并根据所述管理工具及目标服务器生成临时密钥并返回;所述管理工具根据所述临时密钥连接至所述中转服务器;所述中转服务器根据所述临时密钥获取目标服务器并与所述目标服务器建立连接;所述管理工具通过所述中转服务器与所述目标服务器进行通信。上述跨防火墙的动态通路方法及系统,管理工具与防火墙内的目标服务器之间实现了正常通信,该通信安全且操作简便,不需对防火墙进行权限的设置,防止了防火墙内的目标服务器端口暴露在互联网中而导致不安全的问题。
文档编号H04L29/06GK102739613SQ201110091168
公开日2012年10月17日 申请日期2011年4月12日 优先权日2011年4月12日
发明者刘钟泽 申请人:深圳市金蝶中间件有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:刘钟泽
  • 技术所有人:深圳市金蝶中间件有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2