传输控制方法及设备的制造方法
【专利摘要】本发明的目的是提供一种传输控制方法及设备,本申请通过解析运维过程中的协议数据包,将协议数据包中的实现单向传输控制的码流修改为异常码流,在目标机器识别到异常码流时,对该协议数据包丢弃不处理,即可实现单向传输控制,既解决数据传输的安全性控制,又可以方便用户进行IT设备运维管理。通过本申请,可以实现现有的运维管理系统对文件、文件夹、图片、文本等借助磁盘映射和剪贴板进行传输的数据的任何一个方向的控制,并在提高系统安全性、灵活性上产生了显著效果。
【专利说明】
传输控制方法及设备
技术领域
[0001 ]本发明涉及计算机领域,尤其涉及一种传输控制方法及设备。
【背景技术】
[0002]伴随着国家信息化产业的推进,信息安全越来越受到政府和企业的重视,各种IT基础设施建设完成后,IT设备的运行维护工作变得越来越庞杂,在这种形势下,运维管理系统应用而生。
[0003]运维管理系统作为用户和目标设备的中间层,它需要完成各种协议的代理运维过程,同时实现相关控制功能。windows是目前桌面操作系统的主导厂商,其自带的mstsc更是远程桌面连接的利器。mstsc使用rdp协议(Remote Desktop Protocol,远程桌面协议)进行通讯,本地桌面和远程桌面之间的数据交换,可以通过其自带的磁盘映射和剪贴板来进行.
[0004]但是,目前现有的windows自带剪贴板和磁盘映射,开启后是双向传输的,无法做到单向传输的控制,存在安全问题。具体来说,现有的方法虽然能实现本地和远程的数据传输,但同时也存在很大的不足之处:
[0005]1.双向的数据传输,意味着用户可以从服务器上下载任何信息;
[0006]2.双向的数据传输,意味着用户可以上传任何信息到服务器。
【发明内容】
[0007]本发明的一个目的是提供一种传输控制方法及设备,能够解决现有的windows自带剪贴板和磁盘映射,开启后是双向传输的,无法做到单向传输的控制的问题。
[0008]根据本发明的一个方面,提供了一种传输控制方法,该方法包括:
[0009]解析运维过程中从客户端接收的协议数据包,确定协议数据包中实现单向传输控制的码流修改位置;
[0010]当进行单向传输控制时,将协议数据包中所述码流修改位置处修改为异常码流;[0011 ]将修改后的协议数据包发送到目标机器。
[0012]进一步的,当所述协议数据包为剪贴板的协议数据包时,所述码流修改位置为状态信息所在的位置。
[0013]进一步的,将协议数据包中所述码流修改位置处修改为异常码流,包括:
[0014]将协议数据包中所述状态信息位置处的码流修改为状态错误信息。
[0015]进一步的,当所述协议数据包为硬盘映射的协议数据包时,所述码流修改位置为磁盘编号所在的位置。
[0016]进一步的,将协议数据包中所述码流修改位置处修改为异常码流,包括:
[0017]将协议数据包中所述磁盘编号位置处的码流修改为不可识别的磁盘编号。
[0018]进一步的,所述协议数据包为rdp协议数据包。
[0019]根据本发明的另一方面,还提供了一种传输控制设备,该设备包括:
[0020]协议解析模块,用于解析运维过程中从客户端接收的协议数据包,确定协议数据包中实现单向传输控制的码流修改位置;及当进行单向传输控制时,将协议数据包中所述码流修改位置处修改为异常码流;
[0021 ]发送模块,用于将修改后的协议数据包发送到目标机器。
[0022]进一步的,当所述协议数据包为剪贴板的协议数据包时,所述协议解析模块确定的所述码流修改位置为状态信息所在的位置。
[0023]进一步的,所述协议解析模块,用于将协议数据包中所述状态信息位置处的码流修改为状态错误信息。
[0024]进一步的,当所述协议数据包为硬盘映射的协议数据包时,所述协议解析模块确定的所述码流修改位置为磁盘编号所在的位置。
[0025]进一步的,所述协议解析模块,用于将协议数据包中所述磁盘编号位置处的码流修改为不可识别的磁盘编号。
[0026]进一步的,所述协议数据包为rdp协议数据包。
[0027]与现有技术相比,本申请通过解析运维过程中的协议数据包,将协议数据包中的实现单向传输控制的码流修改为异常码流,在目标机器识别到异常码流时,对该协议数据包丢弃不处理,即可实现单向传输控制,既解决数据传输的安全性控制,又可以方便用户进行IT设备运维管理。通过本申请,可以实现现有的运维管理系统对文件、文件夹、图片、文本等借助磁盘映射和剪贴板进行传输的数据的任何一个方向的控制,并在提高系统安全性、灵活性上产生了显著效果。
【附图说明】
[0028]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0029]图1示出根据本发明一个方面的一种传输控制方法的流程图;
[0030]图2示出本发明一实施例的rdp代理服务模型的时序图;
[0031]图3示出本发明一实施例的剪贴板操作时序图;
[0032]图4示出根据本发明另一个方面的一种传输控制设备的模块图。
[0033]附图中相同或相似的附图标记代表相同或相似的部件。
【具体实施方式】
[0034]下面结合附图对本发明作进一步详细描述。
[0035]在本申请一个典型的配置中,终端、服务网络的设备和可信方均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
[0036]内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
[0037]计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括非暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
[0038]如图1所示,本申请提供一种传输控制方法,该方法包括:
[0039]步骤SI,解析运维过程中从客户端接收的协议数据包,确定协议数据包中实现单向传输控制的码流修改位置;
[0040]步骤S2,当进行单向传输控制时,将协议数据包中所述码流修改位置处修改为异常码流;
[0041]步骤S3,将修改后的协议数据包发送到目标机器。本实施例通过解析运维过程中的协议数据包,将协议数据包中的实现单向传输控制的码流修改为异常码流,在目标机器识别到异常码流时,对该协议数据包丢弃不处理,即可实现单向传输控制,既解决数据传输的安全性控制,又可以方便用户进行IT设备运维管理。
[0042]本申请的传输控制方法一优选的实施例中,所述协议数据包为rdp协议数据包。具体的,如图2所示,rdp代理程序相当于系统的中间层,由它负责接收rdp客户端(mstsc,rdesktop等)发送过来的I/O请求,该代理服务内置协议解析模块,该模块主要负责解析运维过程中与磁盘映射和剪贴板有密切关系的协议数据包,解析完成后根据用户需要在协议数据包插入异常码流,形成修改后的协议I/O操作请求(修改后的协议数据包),并将该修改后的协议I/O操作请求转发到远程目标机器,远程目标机器接收到该修改后的协议I/O操作请求后,rdp代理程序接收到远程目标机器对所述修改后的协议I/O操作请求的丢弃不处理的响应后,再转发到rdp客户端(mstsc,rdesktop等),从而实现单向传输控制。
[0043]本申请的传输控制方法一优选的实施例中,当所述协议数据包为剪贴板的协议数据包时,所述码流修改位置为状态信息所在的位置。在此,通过对剪贴板的上下行控制,即可以提高系统的安全性,又不影响系统的正常使用。例如,如图3所示,在rdp协议中,剪贴板的数据是通过剪贴板的专有虚拟通道进行传输的,本地和远端的拷贝和黏贴操作,会使用到两端的系统剪贴板。主机A在进行拷贝操作的时候,首先触发剪贴板更新通知。剪贴板虚拟通道端接收到该通知,发送剪贴板更新请求给主机B,B接收到该请求后,会根据请求的格式,修改本地剪贴板信息,注意此时并未传输实际的数据,B剪贴板信息更新成功后会发送响应消息给主机A。在主机B上进行黏贴操作,则会触发剪贴板数据请求,该请求经过rdp代理服务,转发到主机A,这时候主机A需要将实际存储的剪贴板数据以协议约定的格式发送到主机B,主机B接收到数据更新本地剪贴板,此时应用程序就可以通过使用本地剪贴板完成数据的黏贴操作。在上面描述的整个剪贴板的流程中,有一个关键点,就是A主机获取本地剪贴板实际数据,经过rdp代理服务转给B主机,本申请中实现的剪贴板上下行控制,就是通过在这个过程中进行协议插码而完成的。例如,rdp代理服务接收到A主机发送的剪贴板数据响应后,通过调用协议分析模块,对该过程的协议数据进行解码.解码后会发现每个响应包里面都会携带一个状态信息,该信息表示A主机是否获取到剪贴板数据,需要做的就是根据上下行参数的配置,来决定是否修改该状态信息字段,通过这种代理加协议插码的方式就可以实现对剪贴板的上下行控制。
[0044]本申请的传输控制方法一优选的实施例中,将协议数据包中所述码流修改位置处修改为异常码流,包括:
[0045]将协议数据包中所述状态信息位置处的码流修改为状态错误信息。比如,在rdp协议中,如果O表示状态正常,2表示状态错误,当需要进行单向控制时,则此处需要做的就是将协议数据包的状态信息由O修改为2,操作非常便捷。
[0046]本申请的传输控制方法一优选的实施例中,当所述协议数据包为硬盘映射的协议数据包时,所述码流修改位置为磁盘编号所在的位置。在此,通过对硬盘映射的上下行控制,即可以提高系统的安全性,又不影响系统的正常使用。例如,在rdp协议中,磁盘映射的数据是通过专有虚拟通道进行传输的。磁盘映射的相关流程虽然和剪贴板不一样,但是通过这种rdp代理服务模式,通过调用协议分析模块,解析出磁盘映射相应的数据单元,也可以实现其上下行控制。
[0047]本申请的传输控制方法一优选的实施例中,将协议数据包中所述码流修改位置处修改为异常码流,包括:
[0048]将协议数据包中所述磁盘编号位置处的码流修改为不可识别的磁盘编号。具体的,在解析磁盘映射的过程中,会发现映射的磁盘在协议中会分配一个固定的磁盘编号id,该磁盘编号id唯一性的标识了一块磁盘。对该磁盘的读写等I/O操作都是通过这个id进行的,所以rdp代理服务,在解析出磁盘映射相应的读写I/O后,如果有上下行控制的需要,则需要修改该id为一个系统不识别的id号即可,这样就能便捷地实现上下行的控制。
[0049]通过本申请,可以实现现有的运维管理系统对文件、文件夹、图片、文本等借助磁盘映射和剪贴板进行传输的数据的任何一个方向的控制,并在提高系统安全性、灵活性上产生了显著效果。
[0050]根据本申请的另一面,还提供一种传输控制设备,其中,该设备100包括:
[0051]协议解析模块I,用于解析运维过程中从客户端接收的协议数据包,确定协议数据包中实现单向传输控制的码流修改位置;及当进行单向传输控制时,将协议数据包中所述码流修改位置处修改为异常码流;
[0052]发送模块2,用于将修改后的协议数据包发送到目标机器。本实施例通过解析运维过程中的协议数据包,将协议数据包中的实现单向传输控制的码流修改为异常码流,在目标机器识别到异常码流时,对该协议数据包丢弃不处理,即可实现单向传输控制,既解决数据传输的安全性控制,又可以方便用户进行IT设备运维管理。
[0053]本申请的传输控制设备一优选的实施例中,所述协议数据包为rdp协议数据包。具体的,如图2所示,rdp代理程序相当于系统的中间层,由它负责接收rdp客户端(mstsc,rdesktop等)发送过来的I/O请求,该代理服务内置协议解析模块,该模块主要负责解析运维过程中与磁盘映射和剪贴板有密切关系的协议数据包,解析完成后根据用户需要在协议数据包插入异常码流,形成修改后的协议I/O操作请求(修改后的协议数据包),并将该修改后的协议I/O操作请求转发到远程目标机器,远程目标机器接收到该修改后的协议I/O操作请求后,rdp代理程序接收到远程目标机器对所述修改后的协议I/O操作请求的丢弃不处理的响应后,再转发到rdp客户端(mstsc,rdesktop等),从而实现单向传输控制。
[0054]本申请的传输控制设备一优选的实施例中,当所述协议数据包为剪贴板的协议数据包时,所述协议解析模块I确定的所述码流修改位置为状态信息所在的位置。在此,通过对剪贴板的上下行控制,即可以提高系统的安全性,又不影响系统的正常使用。例如,如图3所示,在rdp协议中,剪贴板的数据是通过剪贴板的专有虚拟通道进行传输的,本地和远端的拷贝和黏贴操作,会使用到两端的系统剪贴板。主机A在进行拷贝操作的时候,首先触发剪贴板更新通知。剪贴板虚拟通道端接收到该通知,发送剪贴板更新请求给主机B,B接收到该请求后,会根据请求的格式,修改本地剪贴板信息,注意此时并未传输实际的数据,B剪贴板信息更新成功后会发送响应消息给主机A。在主机B上进行黏贴操作,则会触发剪贴板数据请求,该请求经过rdp代理服务,转发到主机A,这时候主机A需要将实际存储的剪贴板数据以协议约定的格式发送到主机B,主机B接收到数据更新本地剪贴板,此时应用程序就可以通过使用本地剪贴板完成数据的黏贴操作。在上面描述的整个剪贴板的流程中,有一个关键点,就是A主机获取本地剪贴板实际数据,经过rdp代理服务转给B主机,本申请中实现的剪贴板上下行控制,就是通过在这个过程中进行协议插码而完成的。例如,rdp代理服务接收到A主机发送的剪贴板数据响应后,通过调用协议分析模块,对该过程的协议数据进行解码.解码后会发现每个响应包里面都会携带一个状态信息,该信息表示A主机是否获取到剪贴板数据,需要做的就是根据上下行参数的配置,来决定是否修改该状态信息字段,通过这种代理加协议插码的方式就可以实现对剪贴板的上下行控制。
[0055]本申请的传输控制设备一优选的实施例中,所述协议解析模块I,用于将协议数据包中所述状态信息位置处的码流修改为状态错误信息。比如,在rdp协议中,如果O表示状态正常,2表示状态错误,当需要进行单向控制时,则此处需要做的就是将协议数据包的状态信息由O修改为2,操作非常便捷。
[0056]本申请的传输控制设备一优选的实施例中,当所述协议数据包为硬盘映射的协议数据包时,所述协议解析模块I确定的所述码流修改位置为磁盘编号所在的位置。在此,通过对硬盘映射的上下行控制,即可以提高系统的安全性,又不影响系统的正常使用。例如,在rdp协议中,磁盘映射的数据是通过专有虚拟通道进行传输的。磁盘映射的相关流程虽然和剪贴板不一样,但是通过这种rdp代理服务模式,通过调用协议分析模块,解析出磁盘映射相应的数据单元,也可以实现其上下行控制。
[0057]本申请的传输控制设备一优选的实施例中,所述协议解析模块I,用于将协议数据包中所述磁盘编号位置处的码流修改为不可识别的磁盘编号。具体的,在解析磁盘映射的过程中,会发现映射的磁盘在协议中会分配一个固定的磁盘编号id,该磁盘编号id唯一性的标识了一块磁盘。对该磁盘的读写等I/o操作都是通过这个id进行的,所以rdp代理服务,在解析出磁盘映射相应的读写I/O后,如果有上下行控制的需要,则需要修改该id为一个系统不识别的id号即可,这样就能便捷地实现上下行的控制。
[0058]综上所述,本申请通过解析运维过程中的协议数据包,将协议数据包中的实现单向传输控制的码流修改为异常码流,在目标机器识别到异常码流时,对该协议数据包丢弃不处理,即可实现单向传输控制,既解决数据传输的安全性控制,又可以方便用户进行IT设备运维管理。通过本申请,可以实现现有的运维管理系统对文件、文件夹、图片、文本等借助磁盘映射和剪贴板进行传输的数据的任何一个方向的控制,并在提高系统安全性、灵活性上产生了显著效果。
[0059]显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
[0060]需要注意的是,本发明可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本发明的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地,本发明的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本发明的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
[0061]另外,本发明的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本发明的方法和/或技术方案。而调用本发明的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据所述程序指令运行的计算机设备的工作存储器中。在此,根据本发明的一个实施例包括一个装置,该装置包括用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该装置运行基于前述根据本发明的多个实施例的方法和/或技术方案。
[0062]对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此夕卜,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
【主权项】
1.一种传输控制方法,其中,该方法包括: 解析运维过程中从客户端接收的协议数据包,确定协议数据包中实现单向传输控制的码流修改位置; 当进行单向传输控制时,将协议数据包中所述码流修改位置处修改为异常码流; 将修改后的协议数据包发送到目标机器。2.根据权利要求1所述的方法,其中,当所述协议数据包为剪贴板的协议数据包时,所述码流修改位置为状态信息所在的位置。3.根据权利要求2所述的方法,其中,将协议数据包中所述码流修改位置处修改为异常码流,包括: 将协议数据包中所述状态信息位置处的码流修改为状态错误信息。4.根据权利要求1所述的方法,其中,当所述协议数据包为硬盘映射的协议数据包时,所述码流修改位置为磁盘编号所在的位置。5.根据权利要求4所述的方法,其中,将协议数据包中所述码流修改位置处修改为异常码流,包括: 将协议数据包中所述磁盘编号位置处的码流修改为不可识别的磁盘编号。6.根据权利要求1至5任一项所述的方法,其中,所述协议数据包为rdp协议数据包。7.一种传输控制设备,其中,该设备包括: 协议解析模块,用于解析运维过程中从客户端接收的协议数据包,确定协议数据包中实现单向传输控制的码流修改位置;及当进行单向传输控制时,将协议数据包中所述码流修改位置处修改为异常码流; 发送模块,用于将修改后的协议数据包发送到目标机器。8.根据权利要求7所述的设备,其中,当所述协议数据包为剪贴板的协议数据包时,所述协议解析模块确定的所述码流修改位置为状态信息所在的位置。9.根据权利要求8所述的设备,其中,所述协议解析模块,用于将协议数据包中所述状态信息位置处的码流修改为状态错误信息。10.根据权利要求7所述的设备,其中,当所述协议数据包为硬盘映射的协议数据包时,所述协议解析模块确定的所述码流修改位置为磁盘编号所在的位置。11.根据权利要求10所述的设备,其中,所述协议解析模块,用于将协议数据包中所述磁盘编号位置处的码流修改为不可识别的磁盘编号。12.根据权利要求7至11所述的设备,其中,所述协议数据包为rdp协议数据包。
【文档编号】H04L29/06GK105871819SQ201610169685
【公开日】2016年8月17日
【申请日】2016年3月23日
【发明人】刘炳, 马哲, 肖强
【申请人】上海上讯信息技术股份有限公司