本发明涉及远程登录领域,具体地,涉及一种基于通信网管设备的远程登录系统及方法。
背景技术:
随着智能电网的迅速发展,变电站内智能化水平不断提升,各类设备的网管系统也越来越多,网管作为电力设备远程监控的核心,一直发挥着重要的作用。例如很多情况下相关业务中断是设备软件故障导致的,运维人员收到故障单后,只需要在网管上进行远程复位操作即可消除故障,从而恢复业务。但随着网管系统不断增多,同时相应的网管运维标准越来越高,导致运维人员的压力也越来越大。特别是在工作时间之外,一旦收到故障单,就要求运维人员立刻赶往网管机房进行相关操作,这也导致许多运维人员24小时处于待命状态,影响其正常工作和生活。
目前绝大多数vpn服务器是通过帐号密码的方式进行认证的,但对于电力系统网管来说,这种安全级别是远远不够的,如果使用这种方式,运维人员很可能在外网电脑上随意登陆,从而导致帐号密码被盗,一旦黑客通过vpn帐号密码登陆网管,对电力系统造成的危害不堪设想。
同时目前vpn没有相关授权机制,登录服务器时没有人授权许可,仅仅是人员与服务器一对一的服务关系,对于网管这种级别的系统来说,没有管理员进行授权随意登陆也会导致许多问题。
技术实现要素:
本发明的目的在于,针对上述问题,提出一种基于通信网管设备的远程登录系统及方法,以实现既能够满足电网安全需求,同时也能减轻网管运维人员压力的远程登录登录系统的优点。
为实现上述目的,本发明采用的技术方案是:一种基于通信网管设备的远程登录系统,主要包括:
授权服务器、外网vpn服务器、管理员客户端、指定电脑客户端、交换机和网管设备;
所述外网vpn服务器分别与所述授权服务器、管理员客户端、指定电脑客户端相连接,所述授权服务器还通过交换机与所述网管设备相连接。
进一步地,所述网管设备包括通信设备和通信网管;所述通信设备和通信网管分别为一个或多个。
进一步地,所述通信设备通过通信网管与所述交换机相连接。
进一步地,所述系统工作流程为通信设备出现故障后,通信网管收到通信设备的告警信号,授权服务器采集原始告警信号,同时对通信设备告警信号进行分类,筛选重要告警。
进一步地,一种基于通信网管设备的远程登录方法,所述筛选重要告警方法具体包括:
步骤1:授权服务器采集通信网管中的告警信息;
步骤2:授权服务器删除其他内容,仅将将告警信息字头进行提取;
步骤3:告警信息字头与授权服务器数据库进行比对,一旦发现网管存在重要告警,则授权服务器会进行告警发送和授权激活。
进一步地,告警发送和授权激活方法具体包括:
步骤a:如果在告警信息字头中找到数据库中事先存储的字段,则授权服务器将激活外网vpn服务器对外网口;
步骤b:网口激活后,授权服务器通过外网向管理员和指定用户客户端发送告警信息;
步骤c:运维人员如若需要进行相关的网管操作,则在指定电脑客户端上进行授权申请(申请访问通信网管);
步骤d:授权服务器收到申请后,会单独向管理员客户端发送是否授权远程登录的请求;
步骤e:管理员同意后,设置登陆时间,授权服务器从外网vpn服务器中获取指定电脑客户端的ip和mac,并加入白名单中;
步骤f:指定电脑客户端即可登陆通信网管之中。
进一步地,系统方法中的安全防护策略主要包括:采用物理隔离的方法,防止黑客攻击vpn服务器。外网vpn服务器对外网口受授权服务器控制,授权服务器没有筛选出重要告警之前,外网vpn服务器网口处于关闭状态,服务器不与外界有任何联系,避免了黑客攻击的可能性;
vpn服务器外网侧安全策略采用ip+mac绑定的方式,确保指定的电脑远程登录;
采用限制登陆时间的方法,保证vpn服务器只对外开放一段时间,超时之后直接关闭网口,保证vpn服务器的安全性。
本发明的有益技术效果:
本发明的一种基于通信网管设备的远程登录系统及方法,主要包括:授权服务器、外网vpn服务器、管理员客户端、指定电脑客户端、交换机和网管设备;所述外网vpn服务器分别与所述授权服务器、管理员客户端、指定电脑客户端相连接,所述授权服务器还通过交换机与所述网管设备相连接。本发明可以实现既能够满足电网安全需求,同时也能减轻网管运维人员压力的远程登录登录系统的优点。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发所述一种基于通信网管设备的远程登录系统及方法的系统结构示意图;
图2为本发所述一种基于通信网管设备的远程登录系统及方法的方法流程图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。
本发明由授权服务器、外网vpn服务器、管理员客户端以及制定电脑组成,系统工作流程为通信设备出现故障后,通信网管收到设备的告警信号,授权服务器采集原始告警信号,同时对设备告警信号进行分类,筛选重要告警。
(1)告警筛选方法如下:
1.授权服务器采集通信网管中的告警信息;
2.授权服务器删除其他内容,仅将将告警信息字头进行提取;
3.告警信息字头与授权服务器数据库进行比对,例如:光通信传输设备会引起业务中断的告警有*_los、*_ais、*_rdi、*_bad、*_fail、*_status,可提前将上述字符写入授权服务器数据库,然后将告警信息字头数据与上述数据进行比对,看告警信息中是否存在上述字符。
一旦发现网管存在重要告警,则授权服务器会进行告警发送和授权激活。
(2)告警发送和授权激活方法如下:
1.如果在告警信息字头中找到数据库中事先存储的字段,则授权服务器将激活外网vpn服务器对外网口。
2.网口激活后,授权服务器通过外网向管理员和指定用户客户端发送告警信息。
3.运维人员如若需要进行相关的网管操作,则在指定电脑客户端上进行授权申请(申请访问通信网管)。
4.授权服务器收到申请后,会单独向管理员客户端发送是否授权远程登录的请求。
5.管理员同意后,设置登陆时间,授权服务器从外网vpn服务器中获取指定电脑客户端的ip和mac,并加入白名单中。
6.指定电脑客户端即可登陆通信网管之中。
(3)安全防护策略
1.采用物理隔离的方法,防止黑客攻击vpn服务器。外网vpn服务器对外网口受授权服务器控制,授权服务器没有筛选出重要告警之前,外网vpn服务器网口处于关闭状态,服务器不与外界有任何联系,避免了黑客攻击的可能性。
2.vpn服务器外网侧安全策略采用ip+mac绑定的方式,确保指定的电脑远程登录。
3.采用限制登陆时间的方法,保证vpn服务器只对外开放一段时间,超时之后直接关闭网口,保证vpn服务器的安全性。
至少可以达到以下有益效果:
本发明的一种基于通信网管设备的远程登录系统及方法,主要包括:授权服务器、外网vpn服务器、管理员客户端、指定电脑客户端、交换机和网管设备;所述外网vpn服务器分别与所述授权服务器、管理员客户端、指定电脑客户端相连接,所述授权服务器还通过交换机与所述网管设备相连接。本发明可以实现既能够满足电网安全需求,同时也能减轻网管运维人员压力的远程登录登录系统的优点。
最后应说明的是:以上所述仅为本发明的优选实施例而已,并不用于限制本发明,尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来说,其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。