CN101047698A - 远程访问保护***及方法 - Google Patents
远程访问保护***及方法 Download PDFInfo
- Publication number
- CN101047698A CN101047698A CN 200610060098 CN200610060098A CN101047698A CN 101047698 A CN101047698 A CN 101047698A CN 200610060098 CN200610060098 CN 200610060098 CN 200610060098 A CN200610060098 A CN 200610060098A CN 101047698 A CN101047698 A CN 101047698A
- Authority
- CN
- China
- Prior art keywords
- package
- remote access
- client
- network segment
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种远程访问保护***,包括侦听模块、网段判断模块、用户信息检查模块,以及远程访问封包判断模块。侦听模块用于在连接端口侦听客户端所发送的封包。网段判断模块用于验证客户端是否处于合法网段。用户信息检查模块用于检查处于合法网段的客户端所发送的封包是否包含正确的用户信息。远程访问封包判断模块用于判断处于合法网段内的客户端所发送的封包是否为远程访问封包。本发明实施方式中还提供一种远程访问保护方法。本发明实施方式中的远程访问保护***及方法可在启动远程访问机制之前首先验证客户端的网段、用户名及密码是否合法,然后决定是否允许客户端进行远程访问,从而增强远程访问的安全性。
Description
【技术领域】
本发明涉及一种安全***及方法,尤其涉及一种远程访问保护***及方法。
【背景技术】
Telnet(远程登录)是进行远程访问的标准协议和主要方式。Telnet可为用户提供在本地计算机上访问远程主机的功能。用户通过Telnet可与全世界的许多信息中心、图书馆及其它资源。用户通过Telnet进行远程访问的方式可分为两种。第一种是用户在远程主机上有自己注册的用户名及密码;第二种是远程主机为用户提供公共的Telnet资源,该资源对于每一个Telnet用户都是开放的。在Unix***中,要建立客户端与远程主机的远程访问连接,只需在***提示符下输入命令:Telnet<远程主机名>,用户就可看到远程主机的欢迎信息或登录标志。在Windows***中,用户将以具有图形接口的Telnet客户端程序建立客户端与远程主机的远程访问连接。
许多网络装置,如路由器、调制解调器等都支持telnet协议。用户在通过该等网络装置建立客户端与远程主机的远程访问连接时,由于网络装置未设置有安全机制,就会使得远程主机容易受到黑客的侵袭。
【发明内容】
为解决上述现有技术存在的不足,需要提供一种远程访问保护***,以增强远程访问的安全性。
此外,还需要提供一种远程访问保护方法,以增强远程访问的安全性。
一种远程访问保护***,设置于通过网络与客户端连接的网络装置中,该网络装置同时与远程主机连接。该远程访问保护***包括侦听模块、网段判断模块、用户信息检查模块,以及远程访问封包判断模块。侦听模块用于在连接端口侦听客户端所发送的封包。网段判断模块用于验证客户端是否处于合法网段;用户信息检查模块用于检查处于合法网段的客户端所发送的封包是否包含正确的用户信息。远程访问封包判断模块用于判断处于合法网段内的客户端所发送的封包是否为远程访问封包。
一种远程访问保护方法,应用于通过网络与客户端连接的网络装置中,该网络装置同时与远程主机连接。该远程访问保护方法包括:在连接端口侦听客户端所发送的建立会话封包;验证客户端是否处于合法网段;如果客户端处于合法网段,则检查客户端所发送的封包是否包含正确的用户信息;如果客户端所发送的封包包含正确的用户信息,则判断客户端所发送的封包是否为远程访问封包;如果客户端所发送的封包为远程访问封包,则允许客户端进行远程控制。
本发明实施方式中的远程访问保护***及方法可在启动远程访问机制之前首先验证客户端的网段、用户名及密码是否合法,然后决定是否允许客户端进行远程访问从而增强远程访问的安全性。
【附图说明】
图1为本发明实施方式中的远程访问保护***的应用环境示意图。
图2为本发明实施方式中的远程访问保护***的模块图。
图3为本发明实施方式中的远程访问保护方法的流程图。
【具体实施方式】
请参阅图1,所示为本发明实施方式中的远程访问保护***10的应用环境示意图。在本实施方式中,客户端30通过网络20与网络装置10连接,网络装置10同时与远程主机40连接,客户端30可通过发送封包远程访问远程主机40。网络装置10为路由器、交换机或调制解调器,网络20为因特网(Internet)或广域网络(Wide Area Network),客户端30为个人计算机或无盘工作站。
请参阅图2,所示为本发明实施方式中的远程访问保护***100的模块图。远程访问保护***100设置于图1所示的网络装置10中。
远程访问保护***100包括侦听模块110、网段判断模块120、用户信息检查模块130、会话判断模块140、解析模块150,以及远程访问封包判断模块160。
侦听模块110用于在连接端口(Port)侦听客户端30所发送的封包。连接端口指网络装置10与客户端30之间进行通信的连接点,其为分别在网络装置10与客户端30上执行的不同程序。在本实施方式中,侦听模块110所侦听的封包包括建立会话封包、包含用户信息封包,以及远程访问封包。侦听模块110在55600连接端口侦听客户端30所发送的封包。在其它方式中可根据实际情况选定在5610等连接端口侦听。
网段判断模块120用于验证客户端30是否处于合法网段。合法网段指远程访问保护***100所允许访问的网段。在本实施方式中,网段判断模块120通过检查封包的因特网协议地址(IP Address)及子网掩码(Subnet Mask)是否合法来判断发送封包的客户端30是否处于合法网段。
用户信息检查模块130用于检查处于合法网段内的客户端30所发送的封包是否包含正确的用户信息。在本实施方式中,用户信息检查模块130检查客户端30所发送的封包中的用户名及用户密码是否正确。
会话模块140用于与处于合法网段内的客户端建立会话(Session)。在本实施方式中,会话指客户端30通过连接端口与会话模块140的连接端口进行的通信过程。客户端30与会话模块140之间所建立的会话具有序列号(Sequence Number)。
解析模块150用于解析并判断处于合法网段内的客户端30所发送的封包是否包含用户信息。在本实施方式中,解析模块150系通过解析封包的有效载荷(Payload)字段判断该封包是否包含用户信息。用户信息包括用户名及用户密码。
远程访问封包判断模块160用于判断处于合法网段内的客户端30所发送的封包是否为远程访问封包。在本实施方式中,远程访问封包判断模块160通过检查封包中的连接端口号(Port Number)的字段所记载的连接端口号是否为23来判断该封包是否为远程访问封包。
请参阅图3,所示为本发明实施方式中远程访问保护方法的流程图。
进入步骤S202,侦听模块110在连接端口侦听客户端30所发送的建立会话封包。如果侦听模块110在该连接端口侦听到客户端300所发送的建立会话封包,则进入步骤S204,否则继续在该连接端口侦听客户端30所发送的建立会话封包。
进入步骤S204,网段判断模块120检查发送建立会话封包的客户端30是否处于合法网段内。如果发送建立会话封包的客户端30处于合法网段内,则进入步骤S206;如果建立会话封包的客户端30不处于合法网段内,则返回步骤S202侦听模块110继续在该连接端口侦听客户端30发送的建立会话封包。
进入步骤S206,会话模块140与客户端30建立会话。在本实施方式中,客户端30通过TCP/IP(Transmission Control Protocol/InternetProtocol)协议与会话模块140进行三次握手(Handshake)后建立会话。在后续的通信过程中,会话模块140与客户端30都基于该会话进行。
客户端30与会话模块140成功建立会话后,进入步骤S208,侦听模块110继续在该连接端口侦听客户端30发送的封包。如果侦听模块110在该连接端口侦听到客户端30所发送的封包,则进入步骤S210,否则继续在该连接端口侦听客户端30所发送的封包。
进入步骤S210,解析模块150解析客户端30所发送的封包是否包含用户信息。如果该封包包含用户信息,则进入步骤S212;如果该封包不包含用户信息,则返回步骤S208,侦听模块110继续在该连接端口侦听客户端30发送的封包。
进入步骤S212,用户信息检查模块130检查客户端30所发送的封包是否包含正确的用户信息。
如果不包含正确的用户信息,则返回步骤S208,侦听模块110继续在该连接端口侦听客户端30发送的封包。如果包含正确的用户信息,则进入步骤S214,侦听模块110继续在该连接端口侦听客户端30发送的封包。在步骤S214中,如果侦听模块110在该连接端口侦听到客户端30发送的封包,则进入步骤S216。
进入步骤S216,远程访问封包判断模块160判断客户端30所发送的封包是否为远程访问封包。远程访问封包包括启动远程访问封包及中断远程访问封包。
如果客户端30所发送的封包不是远程访问封包,则返回步骤S214侦听模块110继续在该连接端口侦听客户端30所发送的封包。如果客户端30所发送的封包是远程访问封包,则进入步骤S218允许客户端30进行远程控制。
本发明实施方式中的远程访问保护***100及方法可在启动远程访问机制之前首先验证客户端的网段、用户名及密码是否合法,然后决定是否允许客户端进行远程访问从而增强远程访问的安全性。
Claims (12)
1.一种远程访问保护***,用于增强客户端与远程主机之间进行通讯的安全性,其特征在于所述远程访问保护***包括:
侦听模块,用于在连接端口侦听所述客户端所发送的封包;
网段判断模块,用于验证所述客户端是否处于合法网段;
用户信息检查模块,用于检查处于所述合法网段内的客户端所发送的封包是否包含正确的用户信息;以及
远程访问封包判断模块,用于判断处于所述合法网段内的客户端所发送的封包是否为远程访问封包。
2.如权利要求1所述的远程访问保护***,其特征在于所述合法网段指所述远程访问保护***所允许访问的网段。
3.如权利要求1所述的远程访问保护***,其特征在于所述客户端所发送的封包包括建立会话封包、用户信息封包以及远程访问封包。
4.如权利要求3所述的远程访问保护***,其特征在于所述解析模块通过解析所述封包的有效载荷字段判断所述封包是否包含用户信息。
5.如权利要求3所述的远程访问保护***,其特征在于所述远程访问封包判断模块通过检查所述封包的连接端口号字段判断所述封包是否为远程访问封包。
6.如权利要求3所述的远程访问保护***,其特征在于进一步包括会话模块,用于与处于所述合法网段的客户端建立会话。
7.如权利要求3所述的远程访问保护***,其特征在于进一步包括解析模块,用于解析并判断处于所述合法网段的客户端所发送的封包是否包含用户信息。
8.一种远程访问保护方法,用于增强客户端与远程主机之间进行通讯的安全性,其特征在于所述远程访问保护方法包括:
在连接端口侦听所述客户端所发送的建立会话封包;
验证所述客户端是否处于合法网段;
如果所述客户端处于所述合法网段,则检查所述客户端所发送的封包是否包含正确的用户信息;
如果所述客户端所发送的封包包含正确的用户信息,则判断所述客户端所发送的封包是否为远程访问封包;以及
如果所述客户端所发送的封包为远程访问封包,则允许所述客户端进行远程控制。
9.如权利要求8所述的远程访问保护方法,其特征在于进一步包括:如果所述客户端处于所述合法网段,则与所述客户端建立会话的步骤。
10.如权利要求9所述的远程访问保护方法,其特征在于进一步包括:与所述客户端建立所述会话后,继续在所述连接端口侦听所述客户端所发送的封包的步骤。
11.如权利要求10所述的远程访问保护方法,其特征在于进一步包括:如果在所述连接端口侦听到所述客户端所发送的封包,则解析并判断所述封包是否包含用户信息的步骤。
12.如权利要求8所述的远程访问保护方法,其特征在于进一步包括:如果所述客户端所发送的封包包含正确的用户信息,则继续在所述连接端口侦听所述客户端所发送的封包的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100600985A CN101047698B (zh) | 2006-03-29 | 2006-03-29 | 远程访问保护***及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100600985A CN101047698B (zh) | 2006-03-29 | 2006-03-29 | 远程访问保护***及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101047698A true CN101047698A (zh) | 2007-10-03 |
| CN101047698B CN101047698B (zh) | 2010-09-29 |
Family
ID=38771915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100600985A Expired - Fee Related CN101047698B (zh) | 2006-03-29 | 2006-03-29 | 远程访问保护***及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101047698B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917719A (zh) * | 2014-03-10 | 2015-09-16 | 国基电子(上海)有限公司 | 用户端网络设备及远程登录的方法 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363307B (zh) * | 2014-12-08 | 2018-04-27 | 上海斐讯数据通信技术有限公司 | 用户端远程登陆服务端的方法及*** |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2438357A1 (en) * | 2003-08-26 | 2005-02-26 | Ibm Canada Limited - Ibm Canada Limitee | System and method for secure remote access |
| JP3918827B2 (ja) * | 2004-01-21 | 2007-05-23 | 株式会社日立製作所 | セキュアリモートアクセスシステム |
-
2006
- 2006-03-29 CN CN2006100600985A patent/CN101047698B/zh not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104917719A (zh) * | 2014-03-10 | 2015-09-16 | 国基电子(上海)有限公司 | 用户端网络设备及远程登录的方法 |
| CN104917719B (zh) * | 2014-03-10 | 2018-03-20 | 国基电子(上海)有限公司 | 用户端网络设备及远程登录的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101047698B (zh) | 2010-09-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8191119B2 (en) | Method for protecting against denial of service attacks | |
| US8453208B2 (en) | Network authentication method, method for client to request authentication, client, and device | |
| CN100588206C (zh) | 一种计算机网络风险评估的装置及其方法 | |
| Izhikevich et al. | {LZR}: Identifying unexpected internet services | |
| CN101594269B (zh) | 一种异常连接的检测方法、装置及网关设备 | |
| EP2464079A1 (en) | Method for authenticating communication traffic, communication system and protection apparatus | |
| US11888882B2 (en) | Network traffic correlation engine | |
| Prandini et al. | Splitting the HTTPS stream to attack secure web connections | |
| KR101281160B1 (ko) | 하이퍼 텍스터 전송규약 요청 정보 추출을 이용한침입방지시스템 및 그를 이용한 유알엘 차단방법 | |
| WO2006071065A1 (en) | System and method for detecting and interception of ip sharer | |
| CN102231748A (zh) | 一种客户端验证方法及装置 | |
| CN1173529C (zh) | 基于边界网关协议报文的控制报文安全保护方法 | |
| Ashutosh | An insight in to network traffic analysis using packet sniffer | |
| CN101047698A (zh) | 远程访问保护***及方法 | |
| CN200962603Y (zh) | 一种可信边界安全网关 | |
| CN100341282C (zh) | 基于通用协议分析引擎的内核级透明代理方法 | |
| CN114465744A (zh) | 一种安全访问方法及网络防火墙*** | |
| KR100539760B1 (ko) | 인터넷 접근 제어를 통한 에이전트 설치 유도 시스템 및그 방법 | |
| Cisco | Release Notes for the PIX Firewall (Covers all 4.2 versions) | |
| CN112995508A (zh) | 智能相机 | |
| CN114301693B (zh) | 一种用于云平台数据的隐信道安全防御*** | |
| CN115865370B (zh) | 一种基于tcp选项的单包授权验证方法 | |
| JP2007259457A (ja) | テルネット安全システム及び方法 | |
| CN113572735A (zh) | 一种利用隐藏服务器防止网络攻击的方法 | |
| Sanguankotchakorn et al. | Automatic attack detection and correction system development |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100929 Termination date: 20110329 |