技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，具體涉及一種安全訪問監(jiān)測(cè)方法。

背景技術(shù)

當(dāng)今的時(shí)代是一個(gè)信息化社會(huì)，信息系統(tǒng)已成為各企事業(yè)單位業(yè)務(wù)運(yùn)營(yíng)的基礎(chǔ)，由于信息系統(tǒng)運(yùn)維人員掌握著信息系統(tǒng)的最高權(quán)限，一旦運(yùn)維操作出現(xiàn)安全問題將會(huì)給企業(yè)單位帶來巨大的損失。因此，加強(qiáng)對(duì)運(yùn)維人員操作行為的監(jiān)管與審計(jì)是信息安全發(fā)展的必然趨勢(shì)。

傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如rsh、FTP、POP和Telnet其本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送數(shù)據(jù)、用戶帳號(hào)和用戶口令，很容易受到中間人（man-in-the-middle）攻擊方式的攻擊。即存在另一個(gè)人或者一臺(tái)機(jī)器冒充真正的服務(wù)器接收用戶傳給服務(wù)器的數(shù)據(jù)，然后再冒充用戶把數(shù)據(jù)傳給真正的服務(wù)器。

SSH是目前較可靠、專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題，其可對(duì)所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，也能夠防止DNS欺騙和IP欺騙。所以SSH遠(yuǎn)程連接是UNIX/linux服務(wù)器遠(yuǎn)程運(yùn)維最常用的客戶端。因此，設(shè)計(jì)一種SSH會(huì)話數(shù)據(jù)的記錄、轉(zhuǎn)發(fā)、回放、監(jiān)控的實(shí)現(xiàn)方法是很有必要的。

發(fā)明內(nèi)容

發(fā)明目的：本發(fā)明的目的在于針對(duì)現(xiàn)有技術(shù)的不足，提供一可提高運(yùn)維安全管控能力的SSH網(wǎng)絡(luò)安全訪問協(xié)議監(jiān)測(cè)方法。

技術(shù)方案：本發(fā)明提供了一種SSH網(wǎng)絡(luò)安全訪問協(xié)議監(jiān)測(cè)方法，對(duì)標(biāo)準(zhǔn)SSH會(huì)話的審計(jì)由SSH運(yùn)維會(huì)話代理模塊實(shí)現(xiàn)，包括以下步驟：?

（1）SSH運(yùn)維會(huì)話代理模塊初始化配置參數(shù)，建立監(jiān)聽端口，等待客戶端的連接；

（2）客戶端連接SSH協(xié)議服務(wù)單元，同時(shí)，SSH運(yùn)維會(huì)話代理模塊調(diào)用連接控制與認(rèn)證模塊驗(yàn)證客戶端身份；

（3）通過身份驗(yàn)證之后，連接控制與認(rèn)證模塊返回實(shí)際運(yùn)維設(shè)備的登錄名和密碼，由SSH協(xié)議客戶端單元發(fā)起對(duì)實(shí)際運(yùn)維設(shè)備的SSH會(huì)話請(qǐng)求，兩個(gè)會(huì)話建立過程遵循標(biāo)準(zhǔn)的SSH協(xié)議協(xié)商過程；

（4）當(dāng)兩端會(huì)話建立成功后，客戶端對(duì)運(yùn)維設(shè)備進(jìn)行操作，每當(dāng)客戶端或者服務(wù)器端有數(shù)據(jù)傳輸?shù)絊SH運(yùn)維會(huì)話代理模塊時(shí)，SSH運(yùn)維會(huì)話代理模塊會(huì)對(duì)截獲數(shù)據(jù)包進(jìn)行記錄、分析，然后轉(zhuǎn)發(fā)到通信的另一端，當(dāng)客戶端或運(yùn)維設(shè)備服務(wù)器任意一方或兩方會(huì)話斷開，SSH會(huì)話代理模塊自動(dòng)切斷另一端連接，釋放相應(yīng)的資源。

對(duì)SSH運(yùn)維會(huì)話數(shù)據(jù)的記錄和解析由數(shù)據(jù)處理單元實(shí)現(xiàn)，包括以下步驟：

（1）數(shù)據(jù)處理單元一方面轉(zhuǎn)發(fā)數(shù)據(jù)包，另一方面將數(shù)據(jù)寫入共享緩區(qū)，以便記錄數(shù)據(jù)完整記錄運(yùn)維人員的操作過程，包括執(zhí)行的有效命令以及相應(yīng)的結(jié)果；

（2）如果當(dāng)前會(huì)話正接受管理人員的監(jiān)控，SSH運(yùn)維會(huì)話代理模塊會(huì)接收到SSH監(jiān)控模塊發(fā)來的消息，這時(shí)共享數(shù)據(jù)區(qū)會(huì)將相應(yīng)會(huì)話的數(shù)據(jù)包發(fā)送給SSH?監(jiān)控模塊，并由該模塊將數(shù)據(jù)發(fā)往客戶端監(jiān)控插件進(jìn)行展示，從而實(shí)現(xiàn)SSH會(huì)話的實(shí)時(shí)監(jiān)控功能；

（3）SSH運(yùn)維會(huì)話代理模塊接受管理模塊發(fā)送的消息，在任意時(shí)刻，監(jiān)控人員皆可主動(dòng)切斷運(yùn)維人員的SSH運(yùn)維會(huì)話，有效防止非法操作的發(fā)生。

有益效果：本發(fā)明提供了一種SSH會(huì)話數(shù)據(jù)的記錄、轉(zhuǎn)發(fā)、監(jiān)控的方法，從而對(duì)運(yùn)維人員實(shí)行監(jiān)測(cè)，為運(yùn)維安全提高保證，解決了賬號(hào)共享問題，對(duì)于運(yùn)維事故可以定位到個(gè)人，由于UNIX/linux操作系統(tǒng)占據(jù)了服務(wù)器操作系統(tǒng)的主要市場(chǎng)，本方法具有廣泛的應(yīng)用范圍。

附圖說明

圖1為本發(fā)明方法的現(xiàn)場(chǎng)設(shè)備網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖；

圖2為代理程序工作流程圖；

圖3為SSH運(yùn)維會(huì)話代理轉(zhuǎn)發(fā)解析流程圖；

圖4為數(shù)據(jù)處理單元解析數(shù)據(jù)的算法流程圖。

具體實(shí)施方式

下面對(duì)本發(fā)明技術(shù)方案進(jìn)行詳細(xì)說明，但是本發(fā)明的保護(hù)范圍不局限于所述實(shí)施例。

實(shí)施例：提出了一種SSH網(wǎng)絡(luò)安全訪問協(xié)議監(jiān)測(cè)方法實(shí)現(xiàn)SSH會(huì)話數(shù)據(jù)的記錄、轉(zhuǎn)發(fā)、回放、監(jiān)控等功能。

圖1所示是本實(shí)施例的現(xiàn)場(chǎng)設(shè)備網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖。運(yùn)維人員即運(yùn)維客戶端通過SSH會(huì)話代理服務(wù)器訪問遠(yuǎn)程設(shè)備，且代理服務(wù)器將客戶的請(qǐng)求轉(zhuǎn)發(fā)給后臺(tái)服務(wù)器（SSH服務(wù)器和SFTP服務(wù)器），并將后臺(tái)服務(wù)器發(fā)回的結(jié)果轉(zhuǎn)發(fā)給客戶。