一种快速安全的外网访问局域网IP-PBX设备的方法与流程

本发明涉及通信技术领域，尤其涉及一种快速安全的外网访问局域网ip-pbx设备的方法。

背景技术：

ip-pbx作为替代传统pbx的新时代产品，广泛部署于企业内网。一般来说ip-pbx产品的安装和维护人员是分开的，其中安装由安装商负责，维护由代理商的技术支持人员负责。传统的操作模式是安装商上门为企业客户安装并进行配置，然后对企业客户的it维护人员进行简单的使用培训。当企业it维护发现有什么功能配置不成功或出现故障时，技术支持人员介入处理。一般技术人员不会去客户企业现场，此时技术人员需要访问配置页面，需要客户it维护人员将网页端口映射到公网以帮助其排查问题。这种介入方式必须是在客户公司有it维护人员的情况进行，然而有些小企业可能还没有专门的it维护人员，他们甚至对端口映射是什么，要怎么配置都完全不清楚，此时技术支持人员还得解释并教会他们进行端口映射。此外，网页访问端口暴露在公网上很容易遭受到黑客攻击。对于安全意识比较强的技术支持，在解决完问题后，还得让企业客户把映射予以清除。如果后面还有需要技术支持来处理的问题，又得让企业客户再次配置端口映射。对于安全意识比较薄弱的技术支持，他们不会告诉企业用户把端口映射给关闭，这样将造成设备长期暴露于公网上，很容易遭受到黑客的攻击。

技术实现要素：

为了克服现有技术的不足，本发明提供了一种快速安全的外网访问局域网ip-pbx设备的方法，客户只需进行简单配置就能让技术支持来管理设备，且避免了让设备长期暴露在公网上的安全隐患。

本发明解决其技术问题所采用的技术方案是：一种快速安全的外网访问局域网ip-pbx设备的方法，包括布署在局域网内的ip-pbx设备，还包括用于管理ip-pbx设备的云端服务器，所述方法包括如下步骤：

s1：设备管理用户在所述ip-pbx设备上配置所述云端服务器提供的授权验证信息；

s2：所述ip-pbx设备向所述云端服务器发送授权验证信息的请求；

s3：所述云端服务器接收请求，对授权验证信息进行验证并回复ip-pbx设备；

s4：所述ip-pbx设备对收到的所述云端服务器的验证回复进行判断，如果验证通过，继续步骤s5，否则中止后续操作；

s5：所述ip-pbx设备向所述云端服务器定时上报设备信息；

s6：云端服务器用户操作所述云端服务器向所述ip-pbx设备下发远程访问请求数据；

s7：所述ip-pbx设备接收访问请求数据，建立与所述云端服务器的隧道；

s8：所述云端服务器生成一个有访问时效的域名；

s9：云端服务器用户通过域名直接访问控制所述ip-pbx设备；

s10：云端服务器用户完成配置操作后清除访问域名并主动给所述ip-pbx设备端下发断开远程访问的任务，所述设备立即断开隧道。

作为进一步的优选实施方案，步骤s9中所述云端服务器用户在访问控制所述设备时，实时监测访问时效，当访问时效即将到期时，若还要继续访问所述设备，云端服务器管理用户操作所述云端服务器执行延长访问时效的任务，所述云端服务器自动延长域名的访问时效，同时所述云端服务器给所述设备端下发延长隧道连接时效的任务。

作为进一步的优选实施方案，步骤s1中所述授权验证信息可选择用户名密码或者授权码。

作为进一步的优选实施方案，步骤s6中所述远程访问请求数据包括所述云端服务器分配的用于隧道连接的端口，以及隧道的连接时效时间。

作为进一步的优选实施方案，步骤s7中建立与所述云端服务器的隧道是通过ssh反向连接，将所述设备的http端口反向连接至所述云端服务器并分配给所述设备的隧道连接端口。

进一步的，若在连接时效内所述云端服务器没有下发延长连接时效的操作，ip-pbx设备端在隧道连接时效到期时主动断开隧道连接。

作为进一步的优选实施方案，步骤s8中所述域名是在二级域名的基础上生成的三级域名，采用泛域名机制，第三级域名前缀是随机的，而且有访问时效的。

进一步的，步骤s9中所述云端服务器用户通过域名直接访问控制所述ip-pbx设备，具体为：将隧道连接端口映射为生成的域名地址，然后通过nginx反向代理配置，外网用户直接访问域名地址即可通过隧道访问所述设备端的http端口。

本发明的积极效果：

1.配置简单，只需要在设备上正确填写授权验证信息，云端服务器上即可随时连接管理设备，不需要在设备做端口映射操作。

2.外网管理操作快速简单，云端服务器用户只需简单操作(点击远程管理按钮)即可实现远程管理内网设备。

3.云端服务器每次连接管理设备的域名是随机的，即使知道云端服务的ip，也无法通过访问ip:port来尝试猜测访问设备，有效保障设备的安全。

4.云端服务器每次连接管理设备的域名是有访问时效的，超过访问时效后自动销毁域名并断开隧道，进一步保护设备的安全。

附图说明

图1是本发明优选实施例的流程示意图

具体实施方式

下面结合附图对本发明的优选实施例进行详细说明。

参照图1，本发明优选实施例提供一种快速安全的外网访问局域网ip-pbx设备的方法，包括布署在局域网内的ip-pbx设备，还包括用于管理ip-pbx设备的云端服务器，所述方法包括如下步骤：

s1：设备管理用户在所述ip-pbx设备上配置所述云端服务器提供的授权验证信息，所述授权验证信息为授权帐号与密码或者云端服务器用户生成的授权码；

s2：所述ip-pbx设备向所述云端服务器发送授权验证信息的请求；

s3：所述云端服务器接收请求，对授权验证信息进行验证并回复ip-pbx设备；

s4：所述ip-pbx设备对收到的所述云端服务器的验证回复进行判断，如果验证通过，继续步骤s5，否则中止后续操作；

s5：所述ip-pbx设备向所述云端服务器定时上报设备信息，优选的，定时上报时间间隔为3分钟，采用tr069协议上报；

s6：云端服务器用户操作所述云端服务器向所述ip-pbx设备下发远程访问请求数据，优选的，下发远程访问任务带上访问时间的配置，时间默认是30分；下发远程访问任务采用tr069协议进行任务下发；

s7：所述ip-pbx设备接收访问请求数据，建立与所述云端服务器的隧道，并回复云端服务器；所述隧道采用ssh反向隧道；

s8：所述云端服务器生成一个有访问时效的域名；所述生成的域名是在二级域名的基础上生成的三级域名，采用泛域名机制，第三级域名前缀是随机的，而且有时效的。

s9：云端服务器用户通过域名直接访问控制所述ip-pbx设备；具体为：将隧道连接端口映射为生成的域名地址，然后通过nginx反向代理配置，外网用户直接访问域名地址即可通过隧道访问所述设备端的http端口。

s10：所述云端服务器用户在访问控制所述设备后发现访问时效快到期时，若还要继续访问所述设备，所述云端服务器管理用户操作所述云端服务器执行延长访问时效的任务，所述云端服务器自动延长域名的访问时效，同时所述云端服务器给所述设备端下发延长隧道连接时效的任务。

s11：云端服务器用户完成配置操作后清除访问域名并主动给所述ip-pbx设备端下发断开远程访问的任务，所述设备立即断开隧道。

本发明通过局域网的ip-pbx设备端用户在设备上配置正确的授权验证信息，即可让外网的云端服务器管理用户快速访问ip-pbx设备，访问的域名是一个随机唯一且有时效的域名，有效保障设备端的安全。

以上所述的仅为本发明的优选实施例，所应理解的是，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想，并不用于限定本发明的保护范围，凡在本发明的思想和原则之内所做的任何修改、等同替换等等，均应包含在本发明的保护范围之内。