本发明专利技术公开一种基于RDP远程协议的实现协同运维的方法,并且基于该方法提出一种堡垒机(安全运维管理)系统,运维用户通过Mstsc客户端连接至代理程序,代理程序连接至被运维设备,当运维用户发起协助请求且协助用户接受协助请求后,协助用户也通过Mstsc客户端连接至代理程序;代理程序将Mstsc客户端的输入数据发送至被运维设备,将被运维设备返回的展示数据发送至Mstsc客户端,并且根据RDP协议格式解析数据,实现运维用户与协助用户的远程图像保持实时一致,从而实现了协同运维,提高运维效率。
RDP based cooperative operation and maintenance method and bastion machine system
【技术实现步骤摘要】
基于RDP协议的协同运维方法与堡垒机系统
本专利技术属于计算机通信与网络安全
,尤其是涉及一种基于RDP协议的实现协同运维的方法以及利用该方法的堡垒机系统。
技术介绍
随着计算机信息技术的深入应用,企业和机构庞大而复杂的系统数据安全愈发重要,对相关IT设备的运营、维护和管理风险也不断加大。直接连接设备进行运维,无法保证设备的安全,因此在运维人员与服务器设备之间增加堡垒机可以对运维操作的合法性进行有效控制。安全运维管理系统(也称堡垒机)是一种对主机、服务器、网络设备、安全设备等的管理维护进行操作审计的网络安设备;运维用户只能看见和执行已授权的操作,未经授权的运维用户无法跳转至其他IT设备。RDP远程桌面代理是堡垒机的核心功能,但是目前市场存在的堡垒机对于RDP协议的支持粒度大多数限于一个用户,或者支持密码多人分管认证。单人运维资源时遇到难以独立解决的重要问题、需要他人协助时,或者重要的设备运维需要双人共同参与的情况,目前的堡垒机难以满足,导致运维效率较低。
技术实现思路
鉴于上述的现有堡垒机面临的运维现状,提出一种基于RDP远程协议的实现协同运维的方法,并且基于该方法提出一种堡垒机(安全运维管理)系统。首先,一种基于RDP协议的协同运维方法,第一运维端通过第一代理端与被运维端连接后,向第二运维端发送协助请求,两个运维端实现协同运维包括以下步骤:S11.第二运维端接收所述协助请求,第二代理端向第一代理端发送停止代理的信号;S12.第一代理端完成对当前数据的缓存后暂停对第一运维端的代理;S13.第二代理端将第一代理端的缓存数据转发至第二运维端;S14.第二代理端向第一代理端发送继续代理的信号,第一代理端开始对第一运维端的代理;S15.第一代理端将被运维端向第一运维端返回的展示数据转发至第二运维端;S16.第二代理端将第二运维端的输入数据发送至第一代理端,第一代理端将所述输入数据转发至被运维端。两个运维端进行协同运维前,互相之间需要先建立连接,其过程包括以下步骤:S21.第一运维端选择被运维端后,在运维记录表中新建一条运维信息记录,内容包括第一运维端、被运维端IP;S22.第一运维端连接第一代理端,第一代理端连接被运维端,连接成功后,第一代理端开始缓存被运维端返回至第一运维端的展示数据,将缓存数据文件路径与第一代理端ID更新至运维信息记录;S23.第一运维端向第二运维端发出协助请求,将第二运维端更新至运维信息记录;S24.第二运维端接受所述协助请求,并连接第二代理端,将第二代理端ID更新至运维信息记录。其中,S22中,若第一运维端与第一代理端连接失败,和/或,第一代理端与被运维端连接失败,清除所述运维记录表内对应的运维信息记录;S24中,若第二运维端拒绝第一运维端的协助请求,清除所述运维记录表内对应的运维信息记录。优选的,上述的第一代理端与第二代理端为同一代理程序的不同进程,所述代理端ID为相应的进程ID;第一运维端与第二运维端被记录到运维信息记录中的内容是对应的用户名或运维ID。所述代理程序将运维端的输入数据转发至被运维端,并将被运维端返回的展示数据转发至运维端。所述代理程序根据RDP协议格式解析运维端的输入数据与被运维端的展示数据;所述运维端为Mstsc客户端;所述被运维端为Windows服务器。本技术方案还提出一种堡垒机系统,包括:Mstsc客户端、代理程序与被运维设备,运维者通过Mstsc客户端连接代理程序,代理程序连接被运维设备,连接成功后,运维者请求协助者加入本次运维,协助者接受运维请求后也通过Mstsc客户端连接代理程序,代理程序控制与交换对应数据实现运维者与协助者同时对被运维设备进行远程操作,且使运维者与协助者看到实时一致的远程图像;所述数据包括运维者与协助者的输入数据、被运维设备返回的展示数据。优选的,所述运维者通过代理程序连接至被运维设备后,创建运维信息记录表,用于存储协同运维信息;所述协同运维信息包括:运维者与协助者、被运维设备IP、代理程序缓存数据文件路径与代理进程ID。进一步的,所述运维者与协助者通过对应的Mstsc客户端,分别连接至代理程序的第一代理进程与第二代理进程,第一代理进程与第二代理进程根据RDP协议格式解析所述控制与交换数据。堡垒机系统的工作过程包括:协助者接受运维者的协助请求后,根据第一代理进程的ID向其发送停止代理信号;第一代理进程完成运维者与被运维设备之间的数据缓存后,暂停代理功能;根据前述缓存数据的文件路径,第二代理进程将缓存数据转发至协助者的Mstsc客户端;第二代理进程向第一代理进程发送继续代理的信号,第一代理进程重新开启代理功能;第一代理进程将被运维设备返回的展示数据转发至第二代理进程,第二代理进程再转发至协助者的Mstsc客户端;协助者的Mstsc客户端的输入数据,由第二代理进程发送至第一代理进程,第一代理进程再转发至被运维端执行。以上技术方案,实现了以下有益效果:基于RDP协议,运维用户通过Mstsc客户端连接至代理程序,代理程序连接至被运维设备,当运维用户发起协助请求且协助用户接受协助请求后,协助用户也通过Mstsc客户端连接至代理程序;代理程序将Mstsc客户端的输入数据发送至被运维设备,将被运维设备返回的展示数据发送至Mstsc客户端,并且根据RDP协议格式解析数据,实现运维用户与协助用户的远程图像保持实时一致,从而实现了协同运维,提高运维效率。附图说明基于RDP协议的协同运维方法实施例,工作流程包括建立连接与协同运维两部分:图1为运维用户与协助用户建立连接的流程示意图,图2为运维用户与协助用户协同运维的实现过程示意图;图3为堡垒机系统实施例,系统组成与数据流向示意图。具体实施方式首先,一种基于RDP协议的协同运维方法,两个运维端进行协同运维前,互相之间需要先建立连接,如图1所示,其连接的建立过程包括以下步骤:第一步,当某设备需要运维时,运维用户在堡垒机系统中选择运维该设备后,在运维记录表中创建一条新的运维信息记录,内容包括第一运维端、被运维端IP。第二步,运维用户通过代理程序连接至被运维设备并缓存展示数据,第一次更新运维信息;具体的是:运维用户通过Mstsc客户端A连接至代理程序的代理进程A,代理进程A连接至被运维设备,前述的连接均成功后,代理进程A开始缓存被运维设备返回至Mstsc客户端A的展示数据,将运维信息记录的内容更新为:运维用户、被运维设备IP、缓存数据文件路径、代理进程A的ID。第三步,运维用户选择协助用户发送协助请求,并第二次更新运维信息;具体的是:运维用户向协助用户发出协助请求后,将运维信息记录的内容更新为:运维用户、协助用户、被运维设备IP、缓存数据文件路径、代理进程A的ID。第四步,协助用户接受运维用户的协助请求后本文档来自技高网...
【技术保护点】
1.基于RDP协议的协同运维方法,第一运维端通过第一代理端与被运维端连接后,向第二运维端发送协助请求,其特征在于,/nS11.第二运维端接收所述协助请求,第二代理端向第一代理端发送停止代理的信号;/nS12.第一代理端完成对当前数据的缓存后暂停对第一运维端的代理;/nS13.第二代理端将第一代理端的缓存数据转发至第二运维端;/nS14.第二代理端向第一代理端发送继续代理的信号,第一代理端开始对第一运维端的代理;/nS15.第一代理端将被运维端向第一运维端返回的展示数据转发至第二运维端;/nS16.第二代理端将第二运维端的输入数据发送至第一代理端,第一代理端将所述输入数据转发至被运维端。/n
【技术特征摘要】
1.基于RDP协议的协同运维方法,第一运维端通过第一代理端与被运维端连接后,向第二运维端发送协助请求,其特征在于,
S11.第二运维端接收所述协助请求,第二代理端向第一代理端发送停止代理的信号;
S12.第一代理端完成对当前数据的缓存后暂停对第一运维端的代理;
S13.第二代理端将第一代理端的缓存数据转发至第二运维端;
S14.第二代理端向第一代理端发送继续代理的信号,第一代理端开始对第一运维端的代理;
S15.第一代理端将被运维端向第一运维端返回的展示数据转发至第二运维端;
S16.第二代理端将第二运维端的输入数据发送至第一代理端,第一代理端将所述输入数据转发至被运维端。
2.根据权利要求1所述的协同运维方法,其特征在于,协同运维前,第一运维端与第二运维端之间建立连接的过程,包括:
S21.第一运维端选择被运维端后,在运维记录表中新建一条运维信息记录,内容包括第一运维端、被运维端IP;
S22.第一运维端连接第一代理端,第一代理端连接被运维端,连接成功后,第一代理端开始缓存被运维端返回至第一运维端的展示数据,将缓存数据文件路径与第一代理端ID更新至运维信息记录;
S23.第一运维端向地二运维端发出协助请求,将第二运维端更新至运维信息记录;
S24.第二运维端接受所述协助请求,并连接第二代理端,将第二代理端ID更新至运维信息记录。
3.根据权利要求2所述的协同运维方法,其特征在于,
S22中,若第一运维端与第一代理端连接失败,和/或,第一代理端与被运维端连接失败,清除所述运维记录表内对应的运维信息记录;
S24中,若第二运维端拒绝第一运维端的协助请求,清除所述运维记录表内对应的运维信息记录。
4.根据权利要求1-3任一所述的协同运维方法,其特征在于,所述第一代理端与第二代理端为同一代理程序的不同进程,所述代理端ID为相应的进程ID;第一运维端与第二运维端被记录到运维信息记录中的内容是对应的用户名或运维ID。
5.根据权利要求4任一所述的协同运维方法,其特征在于,所述代理程序将...
【专利技术属性】
技术研发人员:何建锋,武博,
申请(专利权)人:西安交大捷普网络科技有限公司,
类型:发明
国别省市:陕西;61
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。