专利名称:磁盘映射方法及磁盘映射系统的制作方法
技术领域:
本发明涉及一种磁盘映射方法及磁盘映射系统。
背景技术:
目前,档案资料在不同主机之间的传输大多是使用FTP服务器软件来进行传送。那就是你無法直接修改主機上面的檔案資料不过使用FTP传输档案却存在无法直接修改主机上面的档案资料的问题。为了能够在用户端直接对服务端的档案进行存取,把服务端上的共享文件夹映射成本地机器上的一个磁盘,这样可以提高访问时间,这种针对文档共享的方案也就是所谓的磁盘映射。 Samba是一套实现SMB (Server Messages Block :服务信息块)协议,跨平台进行文件共享和打印共享服务的程序。选用SMB软件以实现让类Unix与windows互相的分享资料。Samba能够为选定的Unix目录(包括所有子目录)建立网络共享。该功能使得Windows用户可以像访问普通Windows下的文件夹那样来通过网络访问这些Unix目录。虽然samba程序很好的实现了网络资料共享,但是存在数据安全问题。由于通过网络传输口令和数据,并且自身的服务程序的验证方式也有其弱点,很容易受到中间人攻击,数据的通信也容易被拦截捕获。现今,网络上存在大量的针对samba的139端口入侵程序,Samba的139网络端口常被黑客利用入侵。然而,如果对于原本未加密的samba服务,要实现加密保护,往往需要修改软件的代码来实现,这样需要花费很多的时间和成本,并且在产品稳定性上容易出现问题。此外,利用第三方加密设备如加密机来实现网络通信加密,往往需要花费大量的成本来购买和维护,并且容易造成性能上的瓶颈,降低工作效率。
发明内容
鉴于上述技术问题,本发明提供一种磁盘映射方法,其在不修改原软件源码、不改变原软件配置、不变更使用方式情况下,能够建立一条加密通道以保证通信的安全。本发明第一方面所涉及的磁盘映射方法,包括以下步骤指定步骤,指定远程监听端口和发送地址;监听步骤,监听本地端口 ;截获步骤,截获本地的数据包;加密步骤,对截获的所述数据包进行加密;第一转发步骤,通过转发端口转发经过加密后的数据包;接收步骤,所述远程监听端口接收所述经过加密后的数据包;解密步骤,对接收到的所述经过加密后的数据包进行解密;以及第二转发步骤,将解密后的数据包转发给所述发送地址。在上述的磁盘映射方法中,还包括解析步骤,解析远程主机地址;连接步骤,连接客户端和服务端,构建成加解密通道。在上述的磁盘映射方法中,还包括认证步骤,进行所述客户端和所述服务端的身份认证。 在上述的磁盘映射方法中,还包括验证步骤,所述服务端对接收到的所述经过加密后的数据包进行信息安全和完整的验证。在上述的磁盘映射方法中,当所述客户端进行下载文档的动作时,所述本地的数据包是指所述客户端发出的下载文件请求消息,而且,在所述第二转发步骤之后,将下载文件作为要发送的数据包,所述服务端对基于所述下载文件请求的下载文件进行加密,并由所述服务端的所述远程监听端口转发给所述客户端的转发端口,所述客户端的转发端口对经过加密的所述下载文件进行信息安全和完整的验证之后进行解密,并将解密后的下载文件转发给所述客户端。本发明第二方面所涉及的磁盘映射系统,包括 指定单元,指定远程监听端口和发送地址;监听单元,监听本地端口 ;截获单元,截获本地的数据包;加密单元,对截获的所述数据包进行加密;第一转发单元,通过转发端口转发经过加密后的数据包;接收单元,所述远程监听端口接收所述经过加密后的数据包;解密单元,对接收到的所述经过加密后的数据包进行解密;以及第二转发单元,将解密后的数据包转发给所述发送地址。在上述的磁盘映射系统中,还包括解析单元,解析远程主机地址;连接单元,连接客户端和服务端,构建成加解密通道。在上述的磁盘映射系统中,还包括认证单元,进行所述客户端和所述服务端的身份认证。在上述的磁盘映射系统中,还包括验证单元,进行由所述服务端对接收到的所述经过加密后的数据包进行信息安全和完整的验证。在上述的磁盘映射系统中,当所述客户端进行下载文档的动作时,所述本地的数据包是指所述客户端发出的下载文件请求消息,而且,当通过所述第二转发单元,所述服务端接收到所述下载文件请求之后,将下载文件作为要发送的数据包,所述服务端对基于所述下载文件请求的下载文件进行加密,并由所述服务端的所述远程监听端口转发给所述客户端的转发端口,所述客户端的转发端口对经过加密的所述下载文件进行信息安全和完整的验证之后进行解密,并将解密后的下载文件转发给所述客户端。
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,其中图I (a)示出了现有的samba磁盘映射方法的示意图。图I (b)示出了本发明的samba磁盘映射方法的示意图。图2示出了加解密通道的构成示意图。图3示出了本发明的端口隐藏及数据转发原理的结构示意图。图4示出了通道数据传输的示意图。图5示出了本发明的通道客户端和通道服务端的示意图。图6是本发明的磁盘映射方法的一实施例的示意图。图7是本发明的磁盘映射方法的另一实施例的示意图。图8是本发明的磁盘映射方法的另一实施例的示意图。
图9是本发明的磁盘映射系统的一实施例的示意图。图10是本发明的磁盘映射系统的另一实施例的示意图。图11是本发明的磁盘映射系统的另一实施例的示意图。图12是本发明的磁盘映射系统的另一实施例的示意图。
具体实施例方式本发明以samba磁盘映射方法及磁盘映射系统为例进行了说明,但本发明不限于samba方法,也可以是其他的磁盘映射方法,例如iSCSI。图I (a)示出了现有的samba磁盘映射方法的示意图;图I (b)示出了本发明的samba磁盘映射方法的示意图。图I (a)为现有的正常的samba磁盘映射操作示例,期间所
有的操作都是明文传输,139端口对外开放,网络中可以窃取操作的内容。图I (b)为本发明的使用通道示例,samba客户端访问操作远程数据的所有信息先通过通道(通道客户端)加密,以密文形式进行输送,139端口只对本地开放,防止信息的泄漏。在samba磁盘映射服务的主体功能基础上,使用通道技术为samba对外服务端口进行隐藏,并对SMB数据流封装加密,最后将数据包进行转发工作。本方法的通道技术是一种用于加密SMB数据的TCP连接工具,可工作在Unix、Linux和Windows平台上,采用Client/Server(客户端/服务端)模式,将Client端的网络数据进行加密,安全传输到指定的Server端再进行解密还原,然后发送到访问的服务端。图2示出了加解密通道的构成示意图。如图2所示,加解密通道包括配置单元、日志单元、网络单元、文件单元、校验单元、加解密单元。其中,配置单元用于配置网络单元需要的监听端口,连接地址,转发端口等;日志单元用于记录各单元阶段的重要信息;网络单元用于建立远程连接,转接SMB数据,隐藏samba对外服务;文件单元用于文件I/O操作接口,用于读写配置文件和日志等;校验单元用于检查安全证书,校验信息完整,确保安全通信;加解密单元用于对SMB数据进行加密封装和拆分解密。在本发明中,通过加解密通道主要实现两个功能一、接收samba服务端/客户端未加密的samba数据流,并进行加密封装,然后将其转接发送;二、对已进行加密封装的samba数据流进行拆包解密,并将其发送给samba服务端/客户端。图3示出了本发明的端口隐藏及数据转发原理的结构示意图,图4示出了通道数据传输的示意图。如图3所示,通过网络单元实现端口隐藏及数据转发。如图4所示,根据通道服务程序,通过监听本地samba对外服务端口 139,截获SMB数据包,后对远程地址进行解析,并通过连接至远程通道服务端创建另一安全的数据连接,当然期间的数据是经过加密封装,确保消除SMB数据的特性,通过以上手段最终实现了 samba端口的隐藏和数据的转发功能。在本发明中,其原理是通过监听本地未加密的数据流发送端口,调取加密库对其进行加密,然后再将其转发送至连接地址。图5示出了本发明的通道客户端和通道服务端的示意图。通过将通道程序通过存储装置或通过网络下载到samba客户端和samba服务端,使samba客户端和samba服务端分别具有实现通道技术的功能、即分别具有通道客户端和通道服务端。图6是本发明的磁盘映射方法的一个实施例示意图。如图6所示,磁盘映射方法包括以下步骤指定步骤S610,指定远程监听端口和发送地址;监听步骤S620,监听本地端口 ;截获步骤S630,截获本地的数据包;加密步骤S640,对截获的数据包进行加密;第一转发步骤S650,通过转发端口转发经过加密后的数据包;接收步骤S660,远程监听端口接收所述经过加密后的数据包;解密步骤S670,对接收到的经过加密后的数据包进行解密;
第二转发步骤S680,将解密后的数据包转发给所述发送地址。图7是本发明的磁盘映射方法的另一个实施例示意图。如图7所示,与图6所示的实施例的区别在于增加了以下步骤解析步骤S742,解析远程主机地址;连接步骤S744,连接客户端和服务端,构建成加解密通道;验证步骤S746,进行客户端和服务端的身份验证。而且,上述实施例也可以不包括验证步骤。图8是本发明的磁盘映射方法的另一个实施例示意图。如图8所示,与图7所示的实施例的区别在于增加了验证步骤S872,进行由服务端对接收到的经过加密后的数据包进行信息安全和完整的验证。根据本发明,具体地可以参照图5所示,客户端上传文档动作包括以下步骤a) Samba客户端于139端口发送被上传文件数据包;b)加解密通道的网络单元监听到本地139端口信息;c)截获原始SMB数据包;d)网络单元解析配置单元指定远程通道服务地址;e)网络单元连接通道服务端;f)双方检验单元进行身份认证;g)使用加解密单元对信息进行加密封装;h)发送封装完成的被上传文件数据包;i)通道服务端网络单元获取到经加密的被上传文件数据包;j)通过校验单元验证信息安全和完整;k)使用加解密单元解密该加密数据;I)将解密出的被上传文件数据转送至samba服务端。此外,也可以参照图5,客户端下载文档动作包括a) Samba客户端发出“下载文件请求”消息;b)通道程序的网络单元监听到本地139端口信息;c)截获“下载文件请求” SMB数据包;d)网络单元解析配置单元指定远程通道服务地址;e)网络单元连接通道服务端;f)双方检验单元进行身份认证;g)使用加解密单元对信息进行加密封装;
h)发送封装好的“下载文件请求”信息;i)通道服务端网络单元获取到经加密的“下载文件请求”信息;j)通过校验单元验证信息安全和完整;k)使用加解密单元解密“下载文件请求”信息;I)将“下载文件请求”信息转送至samba服务端;m) Samba服务端将下载文件进行封包发送;η)通道服务端接收该下载文件的SMB数据流;ο)同样使用加解密单元对信息进行加密封装;
ρ)网络单元将加密的SMB数据发送回通道客户端;q)通道客户端通过校验单元验证信息安全和完整;r)使用加解密单元解密客户端下载的文件数据包;s)通道客户端最终将文件数据包转发给samba客户端程序。图9是本发明的磁盘映射系统的一个实施例示意图。如图9所示,磁盘映射系统包括指定单元910,指定远程监听端口和发送地址;监听单元920,监听本地端口;截获单元930,截获本地的数据包;加密单元940,对截获的数据包进行加密;第一转发单元950,通过转发端口转发经过加密后的数据包;接收单元960,远程监听端口接收所述经过加密后的数据包;解密单元970,对接收到的经过加密后的数据包进行解密;第二转发单元980,将解密后的数据包转发给所述发送地址。图10是本发明的磁盘映射系统的另一个实施例示意图。如图10所示,与图9所示的实施例的区别在于增加了解析单元1420,解析远程主机地址;连接单元1440,连接客户端和服务端,构建成加解密通道。图11是本发明的磁盘映射系统的另一个实施例示意图。如图11所示,与图10所示的实施例的区别在于增加了验证单元11460,进行客户端和服务端的身份验证。图12是本发明的磁盘映射方法的另一个实施例示意图。如图12所示,与图11所示的实施例的区别在于增加了验证单元12720,进行由服务端对接收到的经过加密后的数据包进行信息安全和完整的验证。根据本发明的磁盘映射方法及磁盘映射系统,使用密码技术对SAMBA传输过程进行加密传输。隐藏SAMBA对外服务端口,防止黑客攻击。可以在不修改SAMBA源码的前提下实现上述的保护。而且可以跨平台实现上述的保护。另外,在本实施例的客户端及服务端中所执行的程序被预先安装在ROM中而被提供。在本实施例的客户端和服务端所执行的通道程序可以以可安装的形式或可执行的形式的文件,记录在CD-ROM、软磁盘(FD)、CD-R、DVD (Digital Versatile Disk :数字多功能磁盘)等的计算机可读存储介质中而提供。而且,也可以将在本实施例的客户端及服务端中所执行的程序存储在与互联网等的网络连接的计算机上,并通过经由网络下载而提供。此外,也可以将在本实施例的客户端及服务端中所执行的程序经由互联网等的网络而提供或配置。在本实施例的客户端及服务端中所执行的程序为包括上述的各单元(指定单元、监听单元、截获单元、加密单元、第一转发单元、接收单元、解密单元、第二转发单元、解析单元、连接单元、认证单元、验证单元)的模块构成,作为实际的硬件,通过CPU从上述ROM读取并执行程序,上述各部被装载到客户端和/或服务端上,并在上述装置上生成上述各单元。
如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
权利要求
1.一种磁盘映射方法,包括 指定步骤,指定远程监听端口和发送地址; 监听步骤,监听本地端ロ ; 截获步骤,截获本地的数据包; 加密步骤,对截获的所述数据包进行加密; 第一转发步骤,通过转发端ロ转发经过加密后的数据包; 接收步骤,所述远程监听端ロ接收所述经过加密后的数据包; 解密步骤,对接收到的所述经过加密后的数据包进行解密;以及 第二转发步骤,将解密后的数据包转发给所述发送地址。
2.根据权利要求I所述的磁盘映射方法,还包括 解析步骤,解析远程主机地址; 连接步骤,连接客户端和服务端,构建成加解密通道。
3.根据权利要求2所述的磁盘映射方法,还包括 认证步骤,进行所述客户端和所述服务端的身份认证。
4.根据权利要求3所述的磁盘映射方法,还包括 验证步骤,所述服务端对接收到的所述经过加密后的数据包进行信息安全和完整的验证。
5.根据权利要求4所述的磁盘映射方法,其中, 当所述客户端进行下载文档的动作时,所述本地的数据包是指所述客户端发出的下载文件请求消息, 而且,在所述第二转发步骤之后,将下载文件作为要发送的数据包,所述服务端对基于所述下载文件请求的下载文件进行加密,并由所述服务端的所述远程监听端ロ转发给所述客户端的转发端ロ,所述客户端的转发端ロ对经过加密的所述下载文件进行信息安全和完整的验证之后进行解密,并将解密后的下载文件转发给所述客户端。
6.一种磁盘映射系统,包括 指定単元,指定远程监听端口和发送地址; 监听单元,监听本地端ロ ; 截获单元,截获本地的数据包; 加密单元,对截获的所述数据包进行加密; 第一转发单元,通过转发端ロ转发经过加密后的数据包; 接收单元,所述远程监听端ロ接收所述经过加密后的数据包; 解密单元,对接收到的所述经过加密后的数据包进行解密;以及 第二转发单元,将解密后的数据包转发给所述发送地址。
7.根据权利要求6所述的磁盘映射系统,还包括 解析単元,解析远程主机地址; 连接单元,连接客户端和服务端,构建成加解密通道。
8.根据权利要求7所述的磁盘映射系统,还包括 认证单元,进行所述客户端和所述服务端的身份认证。
9.根据权利要求8所述的磁盘映射系统,还包括验证单元,进行由所述服务端对接收到的所述经过加密后的数据包进行信息安全和完整的验证。
10.根据权利要求9所述的磁盘映射系统,其中, 当所述客户端进行下载文档的动作时,所述本地的数据包是指所述客户端发出的下载文件请求消息, 而且,当通过所述第二转发单元,所述服务端接收到所述下载文件请求之后,将下载文件作为要发送的数据包,所述服务端对基于所述下载文件请求的下载文件进行加密,并由所述服务端的所述远程监听端ロ转发给所述客户端的转发端ロ,所述客户端的转发端ロ对经过加密的所述下载文件进行信息安全和完整的验证之后进行解密,并将解密后的下载文件转发给所述客户端。
全文摘要
本发明公开了一种磁盘映射方法及磁盘映射系统,所述磁盘映射方法包括指定步骤,指定远程监听端口和发送地址;监听步骤,监听本地端口;截获步骤,截获本地的数据包;加密步骤,对截获的所述数据包进行加密;第一转发步骤,通过转发端口转发经过加密后的数据包;接收步骤,所述远程监听端口接收所述经过加密后的数据包;解密步骤,对接收到的所述经过加密后的数据包进行解密;以及第二转发步骤,将解密后的数据包转发给所述发送地址。
文档编号H04L29/06GK102857507SQ201210332600
公开日2013年1月2日 申请日期2012年9月10日 优先权日2012年9月10日
发明者陈勇川, 许元进, 吴慧明, 洪跃强 申请人:福建伊时代信息科技股份有限公司