本发明专利技术公开了一种运维审计系统的运维接入方法及系统,所述系统包括运维审计服务器、运维客户端,所述运维审计服务器包括TunServ模块;所述运维客户端包括TunCli模块。收到运维请求后创建运维会话并生成会话ID,同时以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。本发明专利技术实现了在不依赖具体应用协议的情况下实现对运维接入的访问控制,本发明专利技术提供了更好的运维接入兼容性,较好的提升开发人员对运维接入的开发效率,提高了用户体验。
【技术实现步骤摘要】
一种运维审计系统的运维接入方法及系统
本专利技术属于运维审计的
,具体涉及一种运维审计系统的运维接入方法及系统。
技术介绍
实现对各种应用资源(如SSH、RDP、各种数据库服务等)的运维接入,并提供对应用资源的访问授权、访问控制等功能,是一个运维审计系统最基础且最核心的功能,这就要求运维审计系统必须实现对应用的网络连接进行认证和授权,即用户在使用某一运维工具连接目标资产时,运维审计系统必须识别连接发起端(即客户端)的用户身份,并检查这个用户身份是否具有访问目标资产的权限。对于一个运维审计系统,用户发起一次运维请求至少包含的信息有:用户名、用户密码、资产IP、资产端口、资产账户,其一般流程如下:1.用户通过运维工具向运维审计服务器(的应用端口)发起连接,并发送上述信息;2.服务器先通过用户名和用户密码来验证用户的身份,以确保此请求合法;然后检索是否存在由指定资产IP、资产端口、资产账户唯一标识的目标资产,并检查用户是否有权访问对应目标资产(由运维管理员配置)。3.如果认证及授权通过,则服务器直接连接目标资产,并开始转发运维工具和目标资产之间的通讯数据,直到完成运维操作。但这存在一个很大的缺陷,即上述信息必须通过应用协议本身进行传输,因此开发人员需要对具体应用协议以及相应运维工具进行预研,以确定是否能够以及如何在相应运维工具下的具体应用协议中携带这些额外信息,每一种应用协议的内部实现是不同的,而且同一应用协议在不同运维工具上表现也可能不一致,因此开发人员需要针对各种应用协议以及各种运维工具做调研和适配工作,导致系统的开发和维护工作量增加;而且即使以这种方式做到了运维接入,也会影响用户对运维工具的使用体验。在不改变用户网络环境的前提下,有两类解决方案:端口转发和隧道技术。端口转发:在运维审计服务器收到来自运维客户端发起的运维请求并完成权限检查、会话创建后,直接在运维审计服务器上开放临时端口,用户一旦使用相应运维工具连接此服务器端口,系统即将从此端口收到的数据直接转发到目标资产,完成运维流程。此方案无需使用隧道即可完成运维接入,但此方案由于引入了以下几个缺陷导致无法应用在运维审计系统中:1.端口本应仅开放给指定授权用户访问,但实际上任何人(包括未认证用户)均可通过这个端口(冒充授权用户)访问目标资产,因此不具备安全性。2.为防止恶意端口扫描,运维管理员通常会配置防火墙仅允许有限的固定端口被外部访问,在此情况下运维服务器临时开放的端口无法被用户访问,也就无法顺利完成运维操作。3.单台服务器可用的监听端口数量是有限制的(最多6万个左右),因此当同时接入的运维请求数过高时,可用端口将耗尽并导致无法继续运维请求。隧道技术:将运维审计系统对网络连接的认证和授权放到隧道协议中,同时将隧道映射到一个本地端口,后续运维工具连接这个服务器端口,即可实现运维接入。针对不同的隧道协议实现,对隧道的认证和授权实现是不同的。常用的SSH隧道:通过隧道的正向代理,可以将转发端口映射到用户本地,从而避免直接端口转发方案中的缺陷。但在运维审计系统中使用SSH隧道却不是一个最好的方案,因为SSH隧道使用目标网络地址(IP)和目标端口(PORT)进行隧道连接,而在运维审计系统中,只有IP和PORT是不足以唯一标识目标资产的。因此无法直接使用SSH隧道实现本专利技术的目标。基于以上方案的缺陷,本专利技术提供一种通用的、安全的,用于在运维审计系统中提供运维接入能力的方法,以实现在不依赖具体应用协议的情况下也可以完成运维接入。
技术实现思路
本专利技术的目的在于提供一种运维审计系统的运维接入方法,实现在不依赖具体应用协议的情况下也可以完成运维接入,本专利技术提供了更好的运维接入兼容性,较好的提升开发人员对运维接入的开发效率。本专利技术的目的还在于供一种运维审计系统的运维接入系统,通过TunServ模块与TunCli模块以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,所述会话通道中经隧道协议处理过的消息包含了会话ID,进而唯一确定目标资产。本专利技术主要通过以下技术方案实现:一种运维审计系统的运维接入方法,收到运维请求后创建运维会话并生成会话ID,同时以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。为了更好地实现本专利技术,进一步地,主要包括以下步骤:步骤S100:通过运维客户端向运维审计服务器发起对资产的运维请求,服务器收到运维请求,如果认证及授权通过,建立运维会话,并向运维客户端返回会话ID;步骤S200:运维客户端接收到会话ID后,通过TunCli模块创建一个与会话ID关联的会话通道实例,并监听一个临时分配的本地端口,启动对应的运维工具,运维工具连接被监听的本地端口并开始运维;步骤S300:运维客户端TunCli模块接收到来自运维工具发出的原始消息后,对消息进一步封装为数据包,封装后的数据包包含运维会话ID或连接ID,然后将数据包发送给运维审计服务器的TunServ模块;步骤S400:运维审计服务器的TunServ模块收到封装的数据包后,取得会话ID或者连接ID,并查找与此关联的运维会话;从运维会话中取得资产的信息,然后将数据包中包含的原始消息转发到资产,资产的消息也按原路返回到运维工具。为了更好地实现本专利技术,进一步地,所述步骤S100中的运维请求包括能够唯一确定资产的资产ID、资产IP、资产端口、资产账户信息;服务器收到运维请求后检索是否存在指定的资产,并检查用户是否有权访问对应的目标资产。为了更好地实现本专利技术,进一步地,所述步骤S100中会话ID为会话唯一标识,所述步骤S300中连接ID与会话ID关联,一个会话ID包含若干个连接ID;所述步骤S300中连接ID为当前会话连接的唯一标识。为了更好地实现本专利技术,进一步地,所述步骤S300中当TunCli模块收到来自运维工具的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunServ模块。为了更好地实现本专利技术,进一步地,所述步骤S400中,当TunServ模块收到来自目标资产的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunCli模块。为了更好地实现本专利技术,进一步地,所述会话通道的通讯步骤如下:步骤A7:当TunCli模块收到来自运维工具的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunServ模块;步骤A8:TunServ模块收到data包,通过连接ID取得与目标资产的连接,将data包的负载数据发送给目标资产;步骤A9:当TunSer本文档来自技高网...
【技术保护点】
1.一种运维审计系统的运维接入方法,其特征在于,收到运维请求后创建运维会话并生成会话ID,同时以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。/n
【技术特征摘要】
1.一种运维审计系统的运维接入方法,其特征在于,收到运维请求后创建运维会话并生成会话ID,同时以会话ID为标识在目标资产、运维服务器和运维客户端之间建立一条会话通道,并将会话通道映射到用户本地端口,用户使用相应运维工具连接此本地端口,即可与目标资产通讯,完成运维操作。
2.根据权利要求1所述的一种运维审计系统的运维接入方法,其特征在于,主要包括以下步骤:
步骤S100:通过运维客户端向运维审计服务器发起对资产的运维请求,服务器收到运维请求,如果认证及授权通过,建立运维会话,并向运维客户端返回会话ID;
步骤S200:运维客户端接收到会话ID后,通过TunCli模块创建一个与会话ID关联的会话通道实例,并监听一个临时分配的本地端口,启动对应的运维工具,运维工具连接被监听的本地端口并开始运维;
步骤S300:运维客户端TunCli模块接收到来自运维工具发出的原始消息后,对消息进一步封装为数据包,封装后的数据包包含运维会话ID或连接ID,然后将数据包发送给运维审计服务器的TunServ模块;
步骤S400:运维审计服务器的TunServ模块收到封装的数据包后,取得会话ID或者连接ID,并查找与此关联的运维会话;从运维会话中取得资产的信息,然后将数据包中包含的原始消息转发到资产,资产的消息也按原路返回到运维工具。
3.根据权利要求2所述的一种运维审计系统的运维接入方法,其特征在于,所述步骤S100中的运维请求包括能够唯一确定资产的资产ID、资产IP、资产端口、资产账户信息;服务器收到运维请求后检索是否存在指定的资产,并检查用户是否有权访问对应的目标资产。
4.根据权利要求2所述的一种运维审计系统的运维接入方法,其特征在于,所述步骤S100中会话ID为会话唯一标识,所述步骤S300中连接ID与会话ID关联,一个会话ID包含若干个连接ID;所述步骤S300中连接ID为当前会话连接的唯一标识。
5.根据权利要求2所述的一种运维审计系统的运维接入方法,其特征在于,所述步骤S300中当TunCli模块收到来自运维工具的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunServ模块。
6.根据权利要求2或5所述的一种运维审计系统的运维接入方法,其特征在于,所述步骤S400中,当TunServ模块收到来自目标资产的原始数据时,对消息进一步封装为data包,将原始消息作为data包的负载,data头部包含连接ID或者会话ID,此data包再发送到TunCli模...
【专利技术属性】
技术研发人员:黄代平,范渊,吴永越,郑学新,刘韬,
申请(专利权)人:成都安恒信息技术有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。