[发明专利]逆向安全通道远程设备管理模式

说明书

技术领域

本发明涉及处于内网中的设备在外网进行远程管理的安全管理方式，特别涉及多协议支持具有穿透防火墙功能的逆向安全通道远程设备管理模式。

背景技术

网络技术可谓无所不在，Internet快速发展，如今无论是公司还是个人办公，都越来越离不开网络，许多企业和政府机构纷纷将自己的局域网接入Internet，然而，网络也带来了一系列问题，即网络安全性。网络安全成为非常关注的重点，为此，各种网络安全技术和产品应运而生，防火墙技术、NAT技术得到了广大企业用户的认可。内网用户可以访问外网，访问Internet，而从外网却不能主动或直接访问内网的资源，很好保护了企业信息的安全和完整性。

但随着企业的不断扩大，分支机构越来越多，合作伙伴越来越多，移动用户也越来越多，企业希望能通过无处不在的因特网实现方便快捷的访问，既经济又安全的互联成了一个很重要的问题。

虚拟专用网VPN(Virtual Private Network)及其相关技术经过多年的实践、发展和完善，以其方便性、安全性、标准化、成本低等优势脱颖而出，逐步成为实现网络跨地域安全互联的主要技术手段。

对于客户端设备维护，考虑到成本和服务相应时间等因素，到现场维护不是很现实。然而VPN技术由于其自身的复杂性、软硬件要求以及对网络环境的要求，不能满足所有的远程访问需求，特别是不能满足DSL类设备的远程维护要求。DSL Forum提供的TR-069及TR-111方案，仅能够实现预先设定好的维护动作，对一些不能预知的操作无能为力。因此需要寻求一种更轻量级的方案满足远程管理设备的诸多需求。

发明内容

本发明的目的是克服现有技术存在的不足，提供一种多协议支持具有穿透防火墙功能的逆向安全通道远程设备管理模式。

本发明的目的通过以下技术方案来实现：

逆向安全通道远程设备管理模式，特点是：远程设备客户端处于内网中，从外网不能直接主动访问到，服务器端处于外网中，能够直接访问到，远程设备客户端在空闲状态下定时发送UDP数据包到服务器端检测通信链路，在需要进行远程管理时，服务器端通过原客户端的UDP链路返回启动通道信息；远程设备客户端在收到服务器端启动通道请求后，建立两条TCP通道，一条通道用于接收数据，一条通道用于发送数据，互相独立，互不干扰，建立通道时，采用HTTP协议消息作为请求消息，发送GET或POST请求到服务器端，并接收服务器端的应答；远程设备客户端与服务器端建立通道时进行安全性验证，传输的数据进行加密；远程设备客户端与服务器端建立通道后，根据服务器端维护方式类型，建立与本地服务的连接；远程设备客户端在转发本地服务的数据时，先对数据进行加密，并用HTTP协议封包，服务器端接收到数据后先解析HTTP数据并进行解密操作；服务器端为每一个远程设备客户端分配一个维护监听端口，在远程维护时使用相应客户端工具连接到服务器端的维护监听端口上，操作远程设备客户端，进行相应的操作。

进一步地，上述的逆向安全通道远程设备管理模式，所述服务器端处于Internet中并有固定IP、或处于局域网某一网段中。

更进一步地，上述的逆向安全通道远程设备管理模式，所述远程设备客户端与服务器端建立通道时，采用License方法进行安全性验证，传输的数据采用SSL(Secure Socket Layer)协议等加密算法进行加密。

再进一步地，上述的逆向安全通道远程设备管理模式，所述本地服务包括HTTP服务、SSH服务、FTP服务、Telnet服务。

本发明技术方案突出的实质性特点和显著的进步主要体现在：

本发明多协议支持具有穿透防火墙功能的逆向安全通道远程设备管理模式，采用逆向建立通信通道的方式，与外网服务器端建立连接，采用UDP和Web技术传输数据，传输数据时对数据进行加密并使用HTTP协议进行封包，穿透防火墙的限制，同时建立与本地服务的连接，建立从外网到内网的一个通道，在外网通过客户端工具连接到服务器端的维护端口，便能透明的对内网的远程设备进行维护。逆向双通道管理远程设备模式突破传统远程设备管理模式，实现多种管理方式，满足在不同网络环境下远程管理设备的要求，带来了良好的经济效应。

附图说明

下面结合附图对本发明技术方案作进一步说明：

图1：逆向安全通道远程设备管理的示意图；

图2：OfficeTen网络管理系统远程管理总体架构示意图。

图中各附图标记的含义见下表：