专利名称::逆向安全通道远程设备管理模式的制作方法
技术领域:
:本发明涉及处于内网中的设备在外网进行远程管理的安全管理方式,特别涉及多协议支持具有穿透防火墙功能的逆向安全通道远程设备管理模式。
背景技术:
:网络技术可谓无所不在,Internet快速发展,如今无论是公司还是个人办公,都越来越离不开网络,许多企业和政府机构纷纷将自己的局域网接入Internet,然而,网络也带来了一系列问题,即网络安全性。网络安全成为非常关注的重点,为此,各种网络安全技术和产品应运而生,防火墙技术、NAT技术得到了广大企业用户的认可。内网用户可以访问外网,访问Internet,而从外网却不能主动或直接访问内网的资源,很好保护了企业信息的安全和完整性。但随着企业的不断扩大,分支机构越来越多,合作伙伴越来越多,移动用户也越来越多,企业希望能通过无处不在的因特网实现方便快捷的访问,既经济又安全的互联成了一个很重要的问题。虚拟专用网VPN(VirtualPrivateNetwork)及其相关技术经过多年的实践、发展和完善,以其方便性、安全性、标准化、成本低等优势脱颖而出,逐步成为实现网络跨地域安全互联的主要技术手段。对于客户端设备维护,考虑到成本和服务相应时间等因素,到现场维护不是很现实。然而VPN技术由于其自身的复杂性、软硬件要求以及对网络环境的要求,不能满足所有的远程访问需求,特别是不能满足DSL类设备的远程维护要求。DSLForum提供的TR-069及TR-111方案,仅能够实现预先设定好的维护动作,对一些不能预知的操作无能为力。因此需要寻求一种更轻量级的方案满足远程管理设备的诸多需求。
发明内容本发明的目的是克服现有技术存在的不足,提供一种多协议支持具有穿透防火墙功能的逆向安全通道远程设备管理模式。本发明的目的通过以下技术方案来实现逆向安全通道远程设备管理模式,特点是远程设备客户端处于内网中,从外网不能直接主动访问到,服务器端处于外网中,能够直接访问到,远程设备客户端在空闲状态下定时发送UDP数据包到服务器端检测通信链路,在需要进行远程管理时,服务器端通过原客户端的UDP链路返回启动通道信息;远程设备客户端在收到服务器端启动通道请求后,建立两条TCP通道,一条通道用于接收数据,一条通道用于发送数据,互相独立,互不干扰,建立通道时,采用HTTP协议消息作为请求消息,发送GET或POST请求到服务器端,并接收服务器端的应答;远程设备客户端与服务器端建立通道时进行安全性验证,传输的数据进行加密;远程设备客户端与服务器端建立通道后,根据服务器端维护方式类型,建立与本地服务的连接;远程设备客户端在转发本地服务的数据时,先对数据进行加密,并用HTTP协议封包,服务器端接收到数据后先解析HTTP数据并进行解密操作;服务器端为每一个远程设备客户端分配一个维护监听端口,在远程维护时使用相应客户端工具连接到服务器端的维护监听端口上,操作远程设备客户端,进行相应的操作。进一步地,上述的逆向安全通道远程设备管理模式,所述服务器端处于Internet中并有固定IP、或处于局域网某一网段中。更进一步地,上述的逆向安全通道远程设备管理模式,所述远程设备客户端与服务器端建立通道时,采用License方法进行安全性验证,传输的数据采用SSL(SecureSocketLayer)协议等加密算法进行加密。再进一步地,上述的逆向安全通道远程设备管理模式,所述本地服务包括HTTP服务、SSH服务、FTP服务、Telnet服务。本发明技术方案突出的实质性特点和显著的进步主要体现在本发明多协议支持具有穿透防火墙功能的逆向安全通道远程设备管理模式,采用逆向建立通信通道的方式,与外网服务器端建立连接,采用UDP和Web技术传输数据,传输数据时对数据进行加密并使用HTTP协议进行封包,穿透防火墙的限制,同时建立与本地服务的连接,建立从外网到内网的一个通道,在外网通过客户端工具连接到服务器端的维护端口,便能透明的对内网的远程设备进行维护。逆向双通道管理远程设备模式突破传统远程设备管理模式,实现多种管理方式,满足在不同网络环境下远程管理设备的要求,带来了良好的经济效应。下面结合附图对本发明技术方案作进一步说明图l:逆向安全通道远程设备管理的示意图;图2:OfficeTen网络管理系统远程管理总体架构示意图。图中各附图标记的含义见下表附图标记含义附图标记含义附图标记含义1外网服务器2远程设备客户端21OfficeTen远程设备22O伍ceTen远程设备23OfficeTen远程设备3心跳链路31心跳链路32心跳链路33心跳链路4接收通道41接收通道42接收通道43接收通道发送通道51发送通道52发送通道53发送通道6远程设备本地服务61O伍ceTen远程设备本地服务62OfficeTen远程设备本地服务63OfficeTen远程设备本地服务<table>tableseeoriginaldocumentpage6</column></row><table>具体实施方式本发明一种多协议支持具有穿透防火墙功能的逆向安全通道远程设备管理模式,通过逆向建立加密通道,采用Web技术传输数据穿透防火墙,建立外网到内网的透明通道,维护远程设备时不会感觉到设备是在内网中,从而很方便地对远程设备进行维护。逆向安全通道远程设备管理模式,如图1所示,远程设备客户端2向外网服务器1定时发送UDP链路心跳消息包,外网服务器1接收到心跳信息包后,通过心跳链路3向远程设备客户端2发送心跳应答消息包,一旦管理员8需要对远程设备客户端2进行维护时,外网服务器1会在心跳应答消息包中通知远程设备客户端2,远程设备客户端2接收到后,主动向外网服务器1发起两条连接,一条为接收通道4,一条为发送通道5,并在每个通道上,远程设备客户端2和外网服务器1之间进行安全验证,验证成功后,接收通道4开始只接收来自外网服务器1的数据,不通过接收通道4向外网服务器1发送数据,发送通道5向外网服务器1发送数据,发送通道5不接收来自外网服务器1的数据。逆向双通道建立后,向远程设备本地服务6发起一个连接通道7,连接通道7主要用于接收来自远程设备本地服务6的数据,或转发来自外网的数据到远程设备本地服务6上。同时,外网服务器1为远程设备客户端2开发单独的维护监听端口,一切就绪后,管理员8使用客户端工具连接到外网服务器1开放的维护监听端口,建立起连接通道9,如果是Web维护,使用IE/Firefox,如果是系统维护,使用SSH客户端等。数据传输流程管理员8通过客户端工具输入数据后,通过连接通道9将请求数据发送到外网服务器1,外网服务器1通过接收通道4将请求数据发送给远程设备客户端2,远程设备客户端2接收到请求数据后,通过连接通道7将请求数据发送给远程设备本地服务6,完成请求数据的发送过程,远程设备本地服务6—旦有数据需要返回时,通过连接通道7将返回数据发送到远程设备客户端2,远程设备客户端2接收到返回数据后,通过发送通道5将返回数据发送给外网服务器1,外网服务器1接收到返回数据后,通过连接通道9将返回数据发送给管理员8,完成返回数据的接收过程。至此,通过逆向安全通道可在外网访问远程的在NAT/Firewa11后面的设备客户端。基于本发明方法开发的O伍ceTen(OfficeTen是业界首款融合了以语音、数据、安全、应用的企业融合通信系统)设备管理系统,如图2所示,OfficeTen设备在大多数情况下位于企业的NAT/Firewall之后,外网不能直接访问到,但需要对其进行托管维护工作,由于成本和时间等因素,又不能全部到现场进行维护工作,因此需要具备远程维护的功能。本发明则彻底解决了此类问题。外网服务器1可同时管理多台OfficeTen远程设备(如OfficeTen远程设备21、OfficeTen远程设备22、OfficeTen远程设备23等等),管理员8在维护过程中,各设备直接互不干扰,能够同时维护上百台乃至更多的OfficeTen远程设备。为了能够穿透防火墙,外网服务器1开放80端口的TCP监听服务和80端口的UDP监听服务,UDP监听服务用于收发心跳信息包以及控制指令,TCP监听服务用于维护工作的数据传输。外网服务器1与OfficeTen远程设备之间定时发送心跳信息包,以检测设备是否工作正常,例如OfficeTen远程设备21,OfficeTen远程设备21发送心跳信息包后,外网服务器1回送心跳应答包给OfficeTen远程设备21,当需要进行维护工作时,通过其他任何可以实现的方式通知外网服务器l开启OfficeTen远程设备21维护任务,在接收到开启指令后,外网服务器1在OfficeTen远程设备21的心跳应答信息包中传送开启指令,OfficeTen远程设备21接收到开启指令后,向外网服务器1发起两条连接通道,分别为接收通道41和发送通道51,在两条通道中进行安全性验证,正确验证完毕之后,接收通道41中的数据便只能由外网服务器1到OfficeTen远程设备21,发送通道51中的数据只能由OfficeTen远程设备21到外网服务器1。同时,OfficeTen远程设备21根据外网服务器1发送过来的开启指令,向OfficeTen远程设备本地服务61建立连接通道71,如果是Web维护则连接到OfficeTen远程设备本地服务61的80端口上,80端口上是Apache的Web服务,如果是系统维护则连接到OfficeTen远程设备本地服务61的21端口上,21端口上是SSH服务。O伍ceTen远程设备21的3条连接都建立成功之后,通过心跳链路31通知外网服务器1。外网服务器1为OfficeTen远程设备21分配一个独立的维护监听端口号,例如8001端口,不同的远程设备2的维护监听端口不相同。管理员8使用客户端工具IE/Firefox或SSHClient连接到外网服务器1的8001端口上,便可进行维护工作。信息数据经连接通道91到达外网服务器l,再经过接收通道41到达OfficeTen远程设备21,然后再经过连接通道71到达OfficeTen远程设备本地服务61的Apache或SSH服务上。Apache或SSH服务的返回数据经过连接通道71到达0伍ceTen远程设备21,再经过发送通道51到达外网服务器1,然后再经过连接通道91到达管理员8的客户端上。至此完成了从外网到内往一系列的数据的传输过程,从而实现了远程维护远程设备的目的。OfficeTen远程设备22和OfficeTen远程设备23的工作过程与OfficeTen远程设备21类似,故不作重复描述。综上所述,多协议支持具有穿透防火墙功能的逆向安全通道远程设备管理模式,采用逆向的安全通道,使用UDP和Web技术穿透防火墙,SSH等加密技术实现内网数据的转发,并支持多种维护方式,可在此框架下扩展成其他更多的维护方式。逆向加密通道由远程设备客户端主动与服务器建立,并采用双通道方式传输消息,同时能够支持多种协议数据的传输,包括HTTP、SSH、FTP、Telnet等,因此远程维护时可采用多种方式进行维护。对管理人员,则可以透明地对远程设备进行管理维护,大大节约了维护成本和维护时间,显著提高了效率,值得在业内推广应用。以上仅是本发明的具体应用范例,对本发明的保护范围不构成任何限制。凡采用等同变换或者等效替换而形成的技术方案,均落在本发明权利保护范围之内。权利要求1.逆向安全通道远程设备管理模式,其特征在于远程设备客户端处于内网中,服务器端处于外网中,远程设备客户端在空闲状态下定时发送UDP数据包到服务器端检测通信链路,在需要进行远程管理时,服务器端通过原客户端的UDP链路返回启动通道信息;远程设备客户端在收到服务器端启动通道请求后,建立两条TCP通道,一条通道用于接收数据,一条通道用于发送数据,建立通道时,采用HTTP协议消息作为请求消息,发送GET或POST请求到服务器端,并接收服务器端的应答;远程设备客户端与服务器端建立通道时进行安全性验证,传输的数据进行加密;远程设备客户端与服务器端建立通道后,根据服务器端维护方式类型,建立与本地服务的连接;远程设备客户端在转发本地服务的数据时,先对数据进行加密,并用HTTP协议封包,服务器端接收到数据后先解析HTTP数据并进行解密操作;服务器端为每一个远程设备客户端分配一个维护监听端口,在远程维护时使用相应客户端工具连接到服务器端的维护监听端口上,操作远程设备客户端。2.根据权利要求1所述的逆向安全通道远程设备管理模式,其特征在于所述服务器端处于Internet中并有固定IP、或处于局域网某一网段中。3.根据权利要求1所述的逆向安全通道远程设备管理模式,其特征在于所述远程设备客户端与服务器端建立通道时,采用License方法进行安全性验证,传输的数据采用SSL协议加密方式进行加密。4.根据权利要求1所述的逆向安全通道远程设备管理模式,其特征在于所述本地服务包括HTTP服务、SSH服务、FTP服务、Telnet服务。全文摘要本发明提供一种逆向安全通道远程设备管理模式,远程设备客户端处于内网中,远程设备客户端与服务器端使用UDP进行链路检测,远程访问时建立TCP双通道,一条通道用于发送数据,另一条通道用于接收通道,建立连接时使用HTTP协议传输数据以穿透防火墙,并根据服务端维护的方式类型,客户端建立连接到本地服务上,从而建立起外网到内网的传输通道,同时HTTP协议中的数据采用SSL等加密算法加密,确保数据的安全性。通过逆向的加密通道,采用UDP和Web技术传输数据,达到穿透防火墙、远程维护远程设备或远程内网设备的目的,满足不同网络环境下远程管理设备的要求。文档编号H04L12/56GK101257431SQ20081001967公开日2008年9月3日申请日期2008年3月11日优先权日2008年3月11日发明者刘继明,孙希律,林恩峰,谢正清申请人:网经科技(苏州)有限公司;苏州爱迪比科技有限公司