基于RDP协议的协同运维方法与堡垒机系统专利检索-解析法数学与统计专利检索查询-专利查询网

基于RDP协议的协同运维方法与堡垒机系统

阅读：183发布：2020-05-08

专利汇可以提供基于RDP协议的协同运维方法与堡垒机系统专利检索，专利查询，专利分析的服务。并且本发明公开一种基于RDP远程协议的实现协同运维的方法，并且基于该方法提出一种堡垒机（安全运维管理）系统，运维用户通过Mstsc客户端连接至代理程序，代理程序连接至被运维设备，当运维用户发起协助请求且协助用户接受协助请求后，协助用户也通过Mstsc客户端连接至代理程序；代理程序将Mstsc客户端的输入数据发送至被运维设备，将被运维设备返回的展示数据发送至Mstsc客户端，并且根据RDP协议格式解析数据，实现运维用户与协助用户的远程图像保持实时一致，从而实现了协同运维，提高运维效率。，下面是基于RDP协议的协同运维方法与堡垒机系统专利的具体信息内容。

权利要求

1.基于RDP协议的协同运维方法，第一运维端通过第一代理端与被运维端连接后，向第二运维端发送协助请求，其特征在于，
S11.第二运维端接收所述协助请求，第二代理端向第一代理端发送停止代理的信号；
S12.第一代理端完成对当前数据的缓存后暂停对第一运维端的代理；
S13.第二代理端将第一代理端的缓存数据转发至第二运维端；
S14.第二代理端向第一代理端发送继续代理的信号，第一代理端开始对第一运维端的代理；
S15.第一代理端将被运维端向第一运维端返回的展示数据转发至第二运维端；
S16.第二代理端将第二运维端的输入数据发送至第一代理端，第一代理端将所述输入数据转发至被运维端。
2.根据权利要求1所述的协同运维方法，其特征在于，协同运维前，第一运维端与第二运维端之间建立连接的过程，包括：
S21.第一运维端选择被运维端后，在运维记录表中新建一条运维信息记录，内容包括第一运维端、被运维端IP；
S22.第一运维端连接第一代理端，第一代理端连接被运维端，连接成功后，第一代理端开始缓存被运维端返回至第一运维端的展示数据，将缓存数据文件路径与第一代理端ID更新至运维信息记录；
S23.第一运维端向地二运维端发出协助请求，将第二运维端更新至运维信息记录；
S24.第二运维端接受所述协助请求，并连接第二代理端，将第二代理端ID更新至运维信息记录。
3.根据权利要求2所述的协同运维方法，其特征在于，
S22中，若第一运维端与第一代理端连接失败，和/或，第一代理端与被运维端连接失败，清除所述运维记录表内对应的运维信息记录；
S24中，若第二运维端拒绝第一运维端的协助请求，清除所述运维记录表内对应的运维信息记录。
4.根据权利要求1-3任一所述的协同运维方法，其特征在于，所述第一代理端与第二代理端为同一代理程序的不同进程，所述代理端ID为相应的进程ID；第一运维端与第二运维端被记录到运维信息记录中的内容是对应的用户名或运维ID。
5.根据权利要求4任一所述的协同运维方法，其特征在于，所述代理程序将运维端的输入数据转发至被运维端，并将被运维端返回的展示数据转发至运维端。
6.根据权利要求1-3任一所述的协同运维方法，其特征在于，所述代理程序根据RDP协议格式解析运维端的输入数据与被运维端的展示数据；所述运维端为Mstsc客户端；所述被运维端为Windows服务器。
7.一种堡垒机系统，其特征在于，包括：Mstsc客户端、代理程序与被运维设备，运维者通过Mstsc客户端连接代理程序，代理程序连接被运维设备，连接成功后，运维者请求协助者加入本次运维，协助者接受运维请求后也通过Mstsc客户端连接代理程序，代理程序控制与交换对应数据实现运维者与协助者同时对被运维设备进行远程操作，且使运维者与协助者看到实时一致的远程图像；
所述数据包括运维者与协助者的输入数据、被运维设备返回的展示数据。
8.根据权利要求7所述的堡垒机系统，其特征在于，所述运维者通过代理程序连接至被运维设备后，创建运维信息记录表，用于存储协同运维信息；所述协同运维信息包括：运维者与协助者、被运维设备IP、代理程序缓存数据文件路径与代理进程ID。
9.根据权利要求8所述的堡垒机系统，其特征在于，所述运维者与协助者通过对应的Mstsc客户端，分别连接至代理程序的第一代理进程与第二代理进程，第一代理进程与第二代理进程根据RDP协议格式解析所述控制与交换数据。
10.根据权利要求7至9任一所述的堡垒机系统，其特征在于，
协助者接受运维者的协助请求后，根据第一代理进程的ID向其发送停止代理信号；
第一代理进程完成运维者与被运维设备之间的数据缓存后，暂停代理功能；
根据前述缓存数据的文件路径，第二代理进程将缓存数据转发至协助者的Mstsc客户端；
第二代理进程向第一代理进程发送继续代理的信号，第一代理进程重新开启代理功能；
第一代理进程将被运维设备返回的展示数据转发至第二代理进程，第二代理进程再转发至协助者的Mstsc客户端；
协助者的Mstsc客户端的输入数据，由第二代理进程发送至第一代理进程，第一代理进程再转发至被运维端执行。

说明书全文

基于RDP协议的协同运维方法与堡垒机系统

技术领域

[0001] 本发明属于计算机通信与网络安全技术领域，尤其是涉及一种基于RDP协议的实现协同运维的方法以及利用该方法的堡垒机系统。

背景技术

[0002] 随着计算机信息技术的深入应用，企业和机构庞大而复杂的系统数据安全愈发重要，对相关IT设备的运营、维护和管理风险也不断加大。直接连接设备进行运维，无法保证设备的安全，因此在运维人员与服务器设备之间增加堡垒机可以对运维操作的合法性进行有效控制。安全运维管理系统（也称堡垒机）是一种对主机、服务器、网络设备、安全设备等的管理维护进行操作审计的网络安设备；运维用户只能看见和执行已授权的操作，未经授权的运维用户无法跳转至其他IT设备。

[0003] RDP远程桌面代理是堡垒机的核心功能，但是目前市场存在的堡垒机对于RDP协议的支持粒度大多数限于一个用户，或者支持密码多人分管认证。单人运维资源时遇到难以独立解决的重要问题、需要他人协助时，或者重要的设备运维需要双人共同参与的情况，目前的堡垒机难以满足，导致运维效率较低。

发明内容

[0004] 鉴于上述的现有堡垒机面临的运维现状，提出一种基于RDP远程协议的实现协同运维的方法，并且基于该方法提出一种堡垒机（安全运维管理）系统。

[0005] 首先，一种基于RDP协议的协同运维方法，第一运维端通过第一代理端与被运维端连接后，向第二运维端发送协助请求，两个运维端实现协同运维包括以下步骤：S11.第二运维端接收所述协助请求，第二代理端向第一代理端发送停止代理的信号；
S12.第一代理端完成对当前数据的缓存后暂停对第一运维端的代理；
S13.第二代理端将第一代理端的缓存数据转发至第二运维端；
S14.第二代理端向第一代理端发送继续代理的信号，第一代理端开始对第一运维端的代理；
S15.第一代理端将被运维端向第一运维端返回的展示数据转发至第二运维端；
S16.第二代理端将第二运维端的输入数据发送至第一代理端，第一代理端将所述输入数据转发至被运维端。

[0006] 两个运维端进行协同运维前，互相之间需要先建立连接，其过程包括以下步骤：S21.第一运维端选择被运维端后，在运维记录表中新建一条运维信息记录，内容包括第一运维端、被运维端IP；
S22.第一运维端连接第一代理端，第一代理端连接被运维端，连接成功后，第一代理端开始缓存被运维端返回至第一运维端的展示数据，将缓存数据文件路径与第一代理端ID更新至运维信息记录；
S23.第一运维端向第二运维端发出协助请求，将第二运维端更新至运维信息记录；
S24.第二运维端接受所述协助请求，并连接第二代理端，将第二代理端ID更新至运维信息记录。

[0007] 其中,S22中，若第一运维端与第一代理端连接失败，和/或，第一代理端与被运维端连接失败，清除所述运维记录表内对应的运维信息记录；S24中，若第二运维端拒绝第一运维端的协助请求，清除所述运维记录表内对应的运维信息记录。

[0008] 优选的，上述的第一代理端与第二代理端为同一代理程序的不同进程，所述代理端ID为相应的进程ID；第一运维端与第二运维端被记录到运维信息记录中的内容是对应的用户名或运维ID。

[0009] 所述代理程序将运维端的输入数据转发至被运维端，并将被运维端返回的展示数据转发至运维端。

[0010] 所述代理程序根据RDP协议格式解析运维端的输入数据与被运维端的展示数据；所述运维端为Mstsc客户端；所述被运维端为Windows服务器。

[0011] 本技术方案还提出一种堡垒机系统，包括：Mstsc客户端、代理程序与被运维设备，运维者通过Mstsc客户端连接代理程序，代理程序连接被运维设备，连接成功后，运维者请求协助者加入本次运维，协助者接受运维请求后也通过Mstsc客户端连接代理程序，代理程序控制与交换对应数据实现运维者与协助者同时对被运维设备进行远程操作，且使运维者与协助者看到实时一致的远程图像；所述数据包括运维者与协助者的输入数据、被运维设备返回的展示数据。

[0012] 优选的，所述运维者通过代理程序连接至被运维设备后，创建运维信息记录表，用于存储协同运维信息；所述协同运维信息包括：运维者与协助者、被运维设备IP、代理程序缓存数据文件路径与代理进程ID。

[0013] 进一步的，所述运维者与协助者通过对应的Mstsc客户端，分别连接至代理程序的第一代理进程与第二代理进程，第一代理进程与第二代理进程根据RDP协议格式解析所述控制与交换数据。

[0014] 堡垒机系统的工作过程包括：协助者接受运维者的协助请求后，根据第一代理进程的ID向其发送停止代理信号；
第一代理进程完成运维者与被运维设备之间的数据缓存后，暂停代理功能；
根据前述缓存数据的文件路径，第二代理进程将缓存数据转发至协助者的Mstsc客户端；
第二代理进程向第一代理进程发送继续代理的信号，第一代理进程重新开启代理功能；
第一代理进程将被运维设备返回的展示数据转发至第二代理进程，第二代理进程再转发至协助者的Mstsc客户端；
协助者的Mstsc客户端的输入数据，由第二代理进程发送至第一代理进程，第一代理进程再转发至被运维端执行。

[0015] 以上技术方案，实现了以下有益效果：基于RDP协议，运维用户通过Mstsc客户端连接至代理程序，代理程序连接至被运维设备，当运维用户发起协助请求且协助用户接受协助请求后，协助用户也通过Mstsc客户端连接至代理程序；代理程序将Mstsc客户端的输入数据发送至被运维设备，将被运维设备返回的展示数据发送至Mstsc客户端，并且根据RDP协议格式解析数据，实现运维用户与协助用户的远程图像保持实时一致，从而实现了协同运维，提高运维效率。附图说明

[0016] 基于RDP协议的协同运维方法实施例，工作流程包括建立连接与协同运维两部分：图1为运维用户与协助用户建立连接的流程示意图，
图2为运维用户与协助用户协同运维的实现过程示意图；
图3为堡垒机系统实施例，系统组成与数据流向示意图。

具体实施方式

[0017] 首先，一种基于RDP协议的协同运维方法，两个运维端进行协同运维前，互相之间需要先建立连接，如图1所示，其连接的建立过程包括以下步骤：第一步，当某设备需要运维时，运维用户在堡垒机系统中选择运维该设备后，在运维记录表中创建一条新的运维信息记录，内容包括第一运维端、被运维端IP。

[0018] 第二步，运维用户通过代理程序连接至被运维设备并缓存展示数据，第一次更新运维信息；具体的是：运维用户通过Mstsc客户端A连接至代理程序的代理进程A，代理进程A连接至被运维设备，前述的连接均成功后，代理进程A开始缓存被运维设备返回至Mstsc客户端A的展示数据，将运维信息记录的内容更新为：运维用户、被运维设备IP、缓存数据文件路径、代理进程A的ID。

[0019] 第三步，运维用户选择协助用户发送协助请求，并第二次更新运维信息；具体的是：运维用户向协助用户发出协助请求后，将运维信息记录的内容更新为：运维用户、协助用户、被运维设备IP、缓存数据文件路径、代理进程A的ID。

[0020] 第四步，协助用户接受运维用户的协助请求后，连接至代理程序，第三次更新运维信息；具体的是：协助用户接受所述协助请求后通过，Mstsc客户端B连接至代理进程B，将运维信息记录的内容更新为：运维用户、协助用户、被运维设备IP、缓存数据文件路径、代理进程A的ID、代理进程B的ID。

[0021] 经过以上步骤，运维用户与协助用户之间的连接被建立，可以开始协同运维过程。

[0022] 上述技术方案中，作为优选的实施方式：第二步中，若运维用户与代理进程A连接失败，和/或，代理进程A与被运维设备连接失败，清除所述运维记录表内对应的运维信息记录；第四步中，若协助用户拒绝运维用户的协助请求，清除所述运维记录表内对应的运维信息记录；
代理进程A与代理进程B为同一代理程序的不同进程，两者之间可以进行数据交换；运维用户与协助用户被记录到运维信息记录中的内容是对应的用户名或运维ID；
代理程序的进程将运维用户或协助用户的输入数据转发至被运维设备，并将被运维设备返回的展示数据转发至运维用户与协助用户；
代理程序的进程根据RDP协议格式解析运维用户或协助用户通过各自Mstsc客户端的输入数据与被运维设备返回的展示数据；所述被运维设备可以为Windows服务器。

[0023] 如图2所示，运维用户与协助用户的协同运维实现过程，其步骤包括：第一步，代理程序停止对运维用户的代理；具体的是：协助用户接受协助请求后，代理进程B向代理进程A发送停止代理运维用户的信号，代理进程A完成对当前展示数据的缓存暂停对第一运维端的代理。

[0024] 第二步，代理程序将缓存的展示数据转发至协助用户；具体的是：代理进程B通过运维信息记录的缓存文件路径，将代理进程A缓存的展示数据转发至协助用户。

[0025] 第三步，代理程序继续对运维用户的代理，并将展示数据转发至协助用户；具体的是：代理进程B向代理进程A发送继续代理的信号，代理进程A重新开始对运维用户的代理，并将被运维端向运维用户的Mstsc客户端A返回的展示数据转发至协助用户的Mstsc客户端B。

[0026] 第四步，代理程序将协助用户的输入数据转发至被运维设备执行；具体的是：代理进程B将协助用户通过Mstsc客户端B的输入数据发送至代理进程A，代理进程A再将所述输入数据转发至被运维设备。

[0027] 如上述步骤的叙述，被运维设备的展示数据通过代理进程A被缓存，然后转发至代理进程B，代理进程再发送至相应的Mstsc客户端，运维用户与协助用户同时都可以看到一致的远程图像；协助用户的输入数据由其Mstsc客户端发送至代理进程B，代理进程B再转发至代理进程A，最后由代理进程A转发至被运维设备进行执行；从而，实现了高效的协同运维。

[0028] 如图3所示，本技术方案还提出一种堡垒机系统，包括：Mstsc客户端、代理程序与被运维设备，所述代理程序是指RDP远程桌面代理功能，为不同的运维用户设置相应的代理进程。运维者（运维用户A）通过Mstsc客户端A连接代理程序（即对应的代理进程A），代理进程A连接被运维设备，连接成功后，运维用户A 请求协助者（协助用户B）加入本次运维，协助用户B接受运维请求后也通过Mstsc客户端B连接代理程序（即对应的代理进程B），代理进程A与代理进程B控制与交换对应数据实现运维用户A与协助用户B同时对被运维设备进行远程操作，且使两者看到实时一致的远程图像；所述数据包括运维用户A与协助用户B通过Mstsc客户端的输入数据、被运维设备返回给代理进程的展示数据。

[0029] 作为优选的实施方式，运维用户A通过代理进程A连接至被运维设备后，创建运维信息记录表，用于存储协同运维信息；所述协同运维信息包括：运维用户A与协助用户B、被运维设备IP、代理程序的缓存数据文件路径与代理进程ID。

[0030] 进一步的，所述运维用户A与协助用户B通过对应的Mstsc客户端，分别连接至代理程序的代理进程A与代理进程B，代理进程A与代理进程B根据RDP协议格式解析所述控制与交换数据。

[0031] 具体的说明堡垒机系统实施例的工作原理，包括建立连接与协同运维两部分，其中建立连接的内容对附图1的说明一致，再次不再赘述。

[0032] 堡垒机系统协同运维的过程，包括：协助用户B接受运维用户A的协助请求后，根据进程ID向代理进程A发送停止代理的信号；代理进程A完成运维用户A与被运维设备之间的数据缓存后，暂停对运维用户A的代理功能；
根据前述的缓存数据的文件路径，代理进程B将缓存数据转发至协助用户的Mstsc客户端B；
代理进程B向代理进程A发送继续代理的信号，代理进程A重新开启对运维用户A以及其Mstsc客户端A的代理功能；
代理进程A将被运维设备返回的展示数据转发至代理进程B，代理进程B再转发至协助用户的Mstsc客户端B进行展示，至此堡垒机系统实现了被运维设备在运维用户A与协助用户B的实时一致的展示。

[0033] 进一步的，协助用户B的Mstsc客户端B的输入数据，由代理进程B发送至代理进程A，代理进程A再转发至被运维设备执行，从而实现了协助用户B对设备的运维输入，而运维用户A可以直接对设备进行输入操作，所述输入操作的执行结果按照前述的展示数据返回过程，通过运维用户A与协助用户B各自的Mstsc客户端进行展示。

[0034] 如上所述的技术方案，包括了基于RDP协议的协同运维方法和基于该方法的堡垒机系统，实现了协同运维，解决了目前的堡垒机只支持粒度仅限于一个用户的痛点，提高了运维效率。

[0035] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，包括如下步骤：（方法的步骤），所述的存储介质，如：ROM/RAM、磁碟、光盘等。

[0036] 所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

标题	发布/更新时间	阅读量
一种信息处理方法和信息处理装置	2020-05-08	424
一种DASH分片文件合并方法、终端设备及存储介质	2020-05-08	210
一种视频图像预测方法及装置	2020-05-08	222
一种网络文件传输检测方法、装置和系统	2020-05-08	963
一种用于毒品现场快速高灵敏检测的光闪热解析-脉冲进样方法	2020-05-08	169
液晶显示装置及背光驱动方法	2020-05-08	447
一种协议防御装置遥控投退方法	2020-05-08	517
一种通信方法及装置	2020-05-08	523
一种基于指标维度实施银行业案件和操作风险防控的方法	2020-05-11	122
一种动态二维码的验证方法及装置	2020-05-11	384

基于RDP协议的协同运维方法与堡垒机系统

基于RDP协议的协同运维方法与堡垒机系统

技术领域

背景技术

发明内容

具体实施方式

该功能需要专业版企业版VIP权限，您可以：