1.本发明属于网络安全技术领域,涉及内网、外网通信安全,尤其涉及一种一种实现网络隔断下的安全跨网访问系统及方法。
背景技术:
2.对计算机或数字设备的远程操作控制是信息时代一个重要业务协作和系统维护工具。
3.随着信息技术在社会经济活动的全面应用和发展,企业单位的经营运行都依赖于一个内部信息网络系统。而设备厂商和系统厂商为了快捷经济地维护其提供给业主单位的设备和系统,都会通过互联网直接接入业务网络,操作其设备和系统。而在这个内部网络信息系统中,运行着大量关键设备、计算机,并保存有大量关乎国家、社会安全和个人隐私的数据。这种远程联网操作,给设备和系统业主机构带来了极大的网络攻击、数据泄露和非法远程操控风险。
4.至今,如何在远程联网操作的同时,防止内部信息泄露仍没有一个很好的解决方案。尤其是近年来,通过远程联网操作进行数据窃取或网络攻击的事件不断发生,给国家和社会造成了极大的安全危害。远程联网操作的不安全根源在于“联网”,即在远端的厂商操作终端和业主构内部网络的设备和计算机之间建立了一个网络连接。利用这个网络连接,网络攻击和病毒可以直达内部网络,厂商和一些非法分子也可以在企业单位毫不知情、毫无察觉下窃取数据或进行一些非常操控。
5.因此,如何在保证网络隔断前提下,实现跨网桌面操作,既保留远程操作的便利性,又能最大限度保证远程操作活动过程中的数据安全和网络安全,是一个丞待解决的重要问题。
技术实现要素:
6.本发明的目的旨在针对上述现有技术中存在的技术问题,提供一种实现网络隔断下的安全跨网访问系统,通过内外网安全访问设备,基于内外机协作,实现网络隔断下的安全跨网访问。
7.本发明的另一目的旨在提供一种实现网络隔断下的安全跨网访问方法。
8.为了实现上述发明目的,本发明采用以下技术方案来实现。
9.本发明提供的实现网络隔断下的安全跨网访问系统,其包括远程终端设备、内外网安全访问设备和被操作终端设备;
10.所述内外网安全访问设备包括经极小信号集信道连接的外机和内机,以及设置于外机内的内外机协作模块和通道管理模块;所述极小信号集信道由一条以上的物理信道或者一条物理信道上按照设定标准划分出的一条以上的虚拟信道构成信号通道;所述外机通过互联网与远程终端设备通信连接,外机中的内外机协作模块通过通道管理模块选择一条空闲的信号通道,将接收的键盘或/和鼠标信号发送给内机;所述内机依据接收的键盘或/
和鼠标信号,与被操作终端设备经内网建立通信连接,并将被操作终端设备桌面视频信号经相应信号通道发送给外机,外机再经互联网将被操作终端设备桌面视频信号发送给远程终端设备。用于传输鼠标或/和键盘信号的信号通道与传输桌面视频信号的信号通道可以相同或不同。
11.上述实现网络隔断下的安全跨网访问系统,所述物理信道采用的是本领域常用的usb数据线、光纤或双绞线等来实现。由于键盘信号、鼠标信号和桌面视频信号不使用任何一种网络物理层、接入层和网络层协议,且物理信道与内机和外机之间通过usb接口或光纤接口连接,从而保证了内机与外机之间无法将其设置为网络接口。
12.所述极小信号集信道上设置有信号过滤单元;所述信号过滤单元对每一次传输的信号报进行过滤,外机接收的信号包中除鼠标或键盘信号外的其他信号包以及内机接收的信号包中除桌面视频信号外的其他信号包将被阻挡。通过该信号过滤单元,可以保证外机向内机只传输键盘鼠标信号,内机向外机只传输桌面视频信号。本发明中,所述信号过滤单元可以为单片机、fpga器件或可编程网卡等。
13.上述实现网络隔断下的安全跨网访问系统,所述远程终端设备、外机、内机均指的是计算机,外机和内机的操作系统可以为windows或unix。被操作终端设备可以为计算机、生产设备、检测设备、监测设备等。
14.上述实现网络隔断下的安全跨网访问系统,所述远程终端设备通过vpn、p2p或其它方式与内外机安全访问设备的外机通信连接。远程终端设备的数量为一个以上,所述远程终端设备可以采用常规基于rdp远程桌面协议的远程桌面访问工具(例如windows远程桌面终端)等登录内外网安全访问设备的外机。为了进一步提升访问安全性,在远程终端设备登录外机时,可以进一步增加短息验证码,以保证只有持有指定手机号码的用户能够访问相应的外机。
15.上述实现网络隔断下的安全跨网访问系统,所述外机安装有内外机协作模块和通道管理模块。
16.在一种实现方式中,所述外机设置有与远程终端设备相应的远程桌面操作程序。在另一种实现方式中,外机可以同时与多个远程终端设备通信,此时所述外机设置有两个以上的虚拟桌面实例,可以支持两个以上的虚拟桌面。虚拟桌面实例接收和存储键盘信号、鼠标信号和桌面视频信号数据。所有外机虚拟桌面实例均对应一个外机操作系统,由外机操作系统确定使用哪个虚拟桌面实例,或者每个虚拟桌面实例对应于一个外机虚拟操作系统。
17.所述通道管理模块用于对极小信号集的信号通道进行管理,当接收到发送请求时,找到一条空闲的信号通道。所述内外机协作模块用于将接收的来自远程终端设备的键盘或/和鼠标信号,通过通道管理模块找到的信号通道作为专用通道传输至内机;内外机协作模块并将从极小信号集信道传输来的桌面视频信号由远程桌面操作程序经互联网发送远程终端设备。
18.上述实现网络隔断下的安全跨网访问系统,在一种实现方式中,所述内机安装有用于操控被操作终端设备的远程操作程序或指定应用软件。在另外一种实现方式中,内机可以同时与多个被操作终端设备通信,此时所述内机设置有两个以上的虚拟桌面实例,可以支持支持两个以上的虚拟桌面;所有内机虚拟桌面实例均对应一个内机操作系统,由内
机操作系统确定使用哪个虚拟桌面实例,或者每个虚拟桌面实例对应于一个内机虚拟操作系统;内机操作系统或虚拟操作系统安装有用于操控被操作终端设备的远程操作程序或指定应用软件。所述内机操作系统或虚拟操作系统进一步安装有资源访问控制模块,该资源访问控制模块用于依据远程终端设备操作者权限,提供可以使用的远程操作程序或指定应用软件,所述远程操作程序可以为常规基于rdp远程桌面协议的远程桌面访问工具(例如windows远程桌面终端),也可以为ssh远程终端工具或sql终端工具等,进一步通过该远程操作程序访问被操作终端设备。所述内机操作系统或虚拟操作系统进一步安装有转换模块,用于将来自被操作终端设备反馈的访问结果转换成桌面视频信号。
19.本发明进一步提供了一种实现网络隔断下的安全跨网访问方法,分为以下两种情况:
20.第一种情况,内外网安全访问设备只能满足一个远程终端设备访问一个被操作终端设备,使用前面给出的安全跨网访问系统按照以下步骤进行操作:
21.s1远程终端设备将外机登录请求经互联网发送给内外网安全访问设备的外机;登录成功后,外机将相应的桌面视频信号发送给外机远程终端设备,并启动内外机协作模块;
22.s2内外网协作模块将接收的来自远程终端设备的内机桌面登录请求键盘或/和鼠标信号经极小信号集信道发送内机;登录成功后,内机将相应的桌面视频信号经上述专用信道发送给外机;外机进一步将接收到的桌面视频信号发送给远程终端设备;
23.s3内外网协作模块将接收的来自远程终端设备的被操作终端设备启动请求键盘或/和鼠标信号经极小信号集信道发送内机,当内机接收到的被操作终端设备启动请求键盘或/和鼠标信号满足要求时,内机启动用于操控被操作终端设备的远程操作程序或指定应用软件,建立内机与被操作终端设备的通信连接;
24.s4内外网协作模块将接收的来自远程终端设备的被操作终端设备访问指令键盘或/和鼠标信号经极小信号集信道发送内机,内机依据接收到的被操作终端设备访问指令键盘或/和鼠标信号,通过远程操作程序或指定应用软件访问被操作终端设备。
25.被操作终端设备反馈给内机的访问结果,通过内机安装的转换模块将来自被操作终端设备反馈的访问结果转换成桌面视频信号,经极小信号集信道发送给外机。外机进一步将接收到的桌面视频信号发送给远程终端设备。
26.进一步地,上述极小信号集信道上的信号过滤单元过滤掉除上述步骤s2、s3、s4中的内机登录请求、被操作终端设备启动请求,或者被操作终端设备访问指令键盘或/和鼠标信号以及内机发送给外机的桌面视频信号之外的其它信号,以保证远程操作活动过程中的数据安全和网络安全。
27.第二种情况,内外网安全访问设备同时满足多个远程终端设备访问不同的被操作终端设备时,使用前面给出的安全跨网访问系统按照以下步骤进行操作:
28.s1
′
远程终端设备将外机登录请求经互联网发送给内外网安全访问设备的外机;登录成功后,外机打开一个虚拟桌面实例,将相应的桌面视频信号发送给外机远程终端设备,并启动内外机协作模块;
29.s2
′
内外网协作模块将接收的来自远程终端设备的内机桌面登录请求键盘或/和鼠标信号经极小信号集信道发送内机;登录成功后,内机打开一个虚拟桌面实例,将相应的桌面视频信号经上述专用信道发送给外机;外机进一步将接收到的桌面视频信号发送给远
程终端设备;
30.s3
′
内外网协作模块将接收的来自远程终端设备的被操作终端设备启动请求键盘或/和鼠标信号经极小信号集信道发送内机;当内机接收到的被操作终端设备启动请求键盘或/和鼠标信号满足要求时,启动内机操作系统或虚拟操作系统安装的远程操作程序或指定应用软件,建立内机与被操作终端设备的通信连接;
31.s4
′
内外网协作模块将接收的来自远程终端设备的被操作终端设备访问指令键盘或/和鼠标信号经极小信号集信道发送内机;内机操作系统或虚拟操作系统依据接收到的被操作终端设备访问指令键盘或/和鼠标信号,通过远程操作程序或指定应用软件访问被操作终端设备。
32.被操作终端设备反馈给内机的访问结果,通过内机操作系统或虚拟操作系统安装的转换模块将来自被操作终端设备反馈的访问结果转换成桌面视频信号,经极小信号集信道发送给外机。外机进一步将接收到的桌面视频信号发送给远程终端设备。
33.进一步地,上述极小信号集信道上的信号过滤单元过滤掉除上述步骤s2
′
、s3
′
、s4
′
中的内机登录请求、被操作终端设备启动请求,或者被操作终端设备访问指令键盘或/和鼠标信号以及内机发送给外机的桌面视频信号之外的其它信号,以保证远程操作活动过程中的数据安全和网络安全。
34.本发明提供的实现网络隔断下的安全跨网访问系统及方法具有以下有益效果:
35.(1)本发明通过设置的内外网安全访问设备将外网和内网隔断开,内外网安全访问设备的外机通过互联网与远程终端设备通信连接,内机通过内网与被操作终端设备通信连接,外机与内机之间通过由物理信道构成的极小信号集信道连接,并通过该通道上设置的信号过滤单元过滤掉除键盘信号、鼠标信号或桌面视频信号以外的其它信号,从而内机和外机之间保证只允许单个方向的桌面视频信号传输,相反方向的鼠标键盘信号传输,保证在网络隔断前提下,能够实现安全跨网远程操作,既保留了远程操作的便利性,又最大限度地保证了远程操作活动过程中的数据安全和网络安全。
36.(2)本发明使用内机作为跳转主机,使得登录内机操作系统的外机可以操作和内机联网的被操作终端设备。
37.(3)本发明在内机上部署资源访问控制系统,设定登录内机的不同用户访问与内网联网的被操作终端设备中的软件系统(例如远程操作程序、存储数据系统、指定客户端、设备维护软件、浏览器等)的访问权限。
38.(4)本发明通过信号过滤单元对极小信号集信道中传输的信号进行各种加密和检查,以保证只有内机的桌面视频信号传向外机,只有来自外机的键盘和/或鼠标信号传向内机。
附图说明
39.图1为实施例1提供的实现网络隔断下的安全跨网访问系统的结构示意图。
40.图2为极小信号集信道原理示意图。
41.图3为实施例3提供的实现网络隔断下的安全跨网访问系统的结构示意图。
42.图4为实施例3中内外网安全访问设备原理框图。
具体实施方式
43.结合附图对本发明各实施例的技术方案进行清楚、完整的描述,显然,所描述实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例,都属于本发明。
44.实施例1
45.本实施例提供的实现网络隔断下的安全跨网访问系统,如图1所示。其包括远程终端设备、内外网安全访问设备和被操作终端设备。
46.上述内外网安全访问设备包括经极小信号集信道连接的外机和内机。外机通过互联网与远程终端设备通信连接。内机通过交换机与被操作终端设备通信连接。
47.上述远程终端设备、外机和内机均指的是计算机,其操作系统可以为windows或unix。被操作终端设备可以为计算机、生产设备、监测设备等。
48.远程终端设备通过vpn、p2p或其它方式与外机通信连接。远程终端设备和外机分别通过安装的基于rdp远程桌面协议的远程桌面访问工具(例如windows远程桌面终端)实现远程终端设备对外机的访问。为了进一步提升访问安全性,在远程终端设备登录外机时,可以进一步增加短息验证码,以保证只有持有指定手机号码的用户能够访问相应的外机。
49.如图2所示,上述极小信号集信道由两条物理信道或者一条物理信道上按照设定标准划分出两条虚拟信道构成信号通道,一条信号通道用于单向传输由外机发送至内机的键盘/鼠标信号,另外一条信号通道用于单向传输由内机发送至外机的键盘/鼠标信号。本实施例中,物理信道采用的是本领域常用的usb数据线来实现;上述usb数据线可以利用光纤或双绞线等替代。由于键盘信号、鼠标信号和桌面视频信号不使用任何一种网络物理层、接入层和网络层协议,且物理信道与内机和外机之间通过usb接口连接,从而保证了内机与外机之间无法将其设置为网络接口,上述usb接口可以由光纤接口替代。
50.构成极小信号集信道的物理信道上设置有信号过滤单元。本实施例中,以单片机作为过滤单元;也可以以fpga器件或可编程网卡等作为信号过滤单元。该信号过滤单元对每一次传输的信号包进行检查过滤,外机接收的信号包中除鼠标或键盘信号外的其他信号包以及内机接收的信号包中除桌面视频信号外的其他信号包将被阻挡。通过该信号过滤单元,可以保证外机向内机只传输键盘鼠标信号,内机向外机只传输桌面视频信号。进一步地,还可以对极小信号集信道上传输的信号进行加密,以增加信号传输的安全性。
51.上述外机安装有内外机协作模块和通道管理模块。通道管理模块用于对极小信号集的信号通道进行管理,当接收到发送请求时,找到一条空闲的信号通道。内外机协作模块用于将接收的来自远程终端设备的键盘或/和鼠标信号,通过通道管理模块找到的信号通道作为专用通道传输至内机;内外机协作模块并将从极小信号集信道传输来的桌面视频信号由远程操作程序经互联网发送远程终端设备。
52.上述内机和被操作终端设备可以分别通过安装的基于rdp远程桌面协议的远程桌面访问工具(例如windows远程桌面终端)实现内机对被操作终端设备的访问;当然也可以通过ssh远程终端工具或sql终端工具等其他远程操作程序或被操作终端设备自身配置的相应应用软件实现内机对被操作终端设备的访问。内机进一步安装有资源访问控制模块,该资源访问控制模块用于依据远程终端设备操作者权限,提供可以使用的远程桌面访问工具、远程操作程序或指定应用软件。内机进一步安装有转换模块,用于将来自被操作终端设
备反馈的访问结果转换成桌面视频信号。
53.为了进一步提升访问安全性,在远程终端设备登录外机时,可以进一步增加短息验证码,以保证只有持有指定手机号码的用户能够访问相应的外机。
54.实施例2
55.本实施例提供了一种实现网络隔断下的安全跨网访问方法,使用实施例1给出的安全跨网访问系统按照以下步骤进行操作:
56.s1远程终端设备将外机登录请求经互联网发送给内外网安全访问设备的外机;登录成功后,外机将相应的桌面视频信号发送给外机远程终端设备,并启动内外机协作模块。
57.这里的登录请求包括外机用户名和密码。当外机接收到的用户名和密码合法时,外机操作系统登录成功,外机将相应的桌面视频信号发送给外机远程终端设备,并启动内外机协作模块。
58.s2内外网协作模块将接收的来自远程终端设备的内机桌面登录请求键盘或/和鼠标信号经极小信号集信道发送内机;登录成功后,内机将相应的桌面视频信号经上述专用信道发送给外机;外机进一步将接收到的桌面视频信号发送给外机远程终端设备。外机进一步将接收到的桌面视频信号经互联网发送到远程终端设备。
59.远程终端设备将内机登录请求(包括用户名和密码)键盘或/和鼠标信号经互联网发送给外机,外机的内外网协作模块通过通道管理模块选择极小信号集信道中的一条空闲信号通道作为鼠标/键盘信号专用信道(则另一条信号通道作为桌面视频信号专用通道)将桌面登录请求键盘或/和鼠标信号经极小信号集信道发送内机。当内机接收到的内机用户名和密码合法时,内机操作系统登录成功。内机将相应的桌面视频信号经极小信号集信道的桌面视频信号专用通道发送给外机。外机进一步将接收到的桌面视频信号发送给远程终端设备。
60.s3内外网协作模块将接收的来自远程终端设备的被操作终端设备启动请求键盘或/和鼠标信号经极小信号集信道发送内机,当内机接收到的被操作终端设备启动请求键盘或/和鼠标信号满足要求时,内机启动用于操控被操作终端设备的远程操作程序或指定应用软件,建立内机与被操作终端设备的通信连接。
61.这里被操作终端设备启动请求是为了建立内机与被操作终端设备之间的通信连接。由于被操作终端设备可以为计算机,也可以为诸如生产设备、检测设备、监测设备等。当被操作终端设备为计算机时,内机与被操作终端设备之间可以通过基于rdp远程桌面协议的远程桌面访问工具或ssh远程终端工具或sql终端工具其他远程操作程序建立连接,访问被操作终端设备。当被操作终端设备为生产设备、检测设备、监测设备等,内机可以通过这些设备所配置的相应软件来建立连接。
62.因此,远程终端设备可以将被操作终端设备启动请求键盘或/和鼠标信号经互联网发送给外机,外机的内外网协作模块通过键盘/鼠标信号专用通道将接收的被操作终端设备启动请求经极小信号集信道发送内机,内机依据接收的被操作终端设备启动请求,启动远程操作程序或配置的相应软件,建立内机与被操作终端设备之间的通信连接。
63.进一步的,为了确保被操作终端设备数据安全,避免操作者从远程终端设备对其产生误操作或者恶意操作,可以通过内机设置的资源访问控制模块依据内机用户名对应的用户设置使用权限,使该用户只能对某一或某些应用程序进行操作。
64.s4内外网协作模块将接收的来自远程终端设备的被操作终端设备访问指令键盘或/和鼠标信号经极小信号集信道发送内机,内机依据接收到的被操作终端设备访问指令键盘或/和鼠标信号,通过远程操作程序或指定应用软件访问被操作终端设备。
65.内机与被操作终端设备建立通信连接后。远程终端设备便通过内机和外机构成的内外机安全访问设备对被操作终端设备进行访问了。与前面给出的操作相同,远程终端设备可以将被操作终端设备访问指令键盘或/和鼠标信号经互联网发送给外机,外机的内外网协作模块通过上述键盘/鼠标信号专用通道将接收的被操作终端设备访问指令经极小信号集信道发送内机,内机进一步将被操作终端访问指令,经内网发送给被操作终端设备,最终由被操作终端设备按照访问指令执行操作。被操作终端设备反馈给内机的访问结果,通过内机操作系统安装的转换模块将来自被操作终端设备反馈的访问结果转换成桌面视频信号,经极小信号集信道发送给外机。外机进一步将接收到的桌面视频信号发送给远程终端设备。
66.进一步地,上述极小信号集信道上的信号过滤单元过滤掉除上述步骤s2、s3、s4中的内机登录请求、内机远程操作程序启动请求,或者被操作终端设备访问指令键盘或/和鼠标信号以及内机发送给外机的桌面视频信号之外的其它信号,以保证远程操作活动过程中的数据安全和网络安全。
67.实施例3
68.本实施例提供的实现网络隔断下的安全跨网访问系统,如图3所示。其包括远程终端设备、内外网安全访问设备和被操作终端设备。
69.如图4所示上述内外网安全访问设备包括经极小信号集信道连接的外机和内机。外机通过互联网与远程终端设备通信连接。内机通过交换机与被操作终端设备通信连接。
70.上述远程终端设备、外机和内机均指的是计算机,其操作系统可以为windows或unix。被操作终端设备可以为计算机、生产设备、监测设备等。
71.远程终端设备通过vpn、p2p或其它方式与外机通信连接。远程终端设备和外机分别通过安装的基于rdp远程桌面协议的远程桌面访问工具(例如windows远程桌面终端)实现远程终端设备对外机的访问。为了进一步提升访问安全性,在远程终端设备登录外机时,可以进一步增加短息验证码,以保证只有持有指定手机号码的用户能够访问相应的外机。
72.上述极小信号集信道由两条以上的物理信道或者一条物理信道上按照设定标准划分出的两条以上的虚拟信道构成信号通道,同一条信号通道既可以传输由外机发送给内机的键盘或/鼠标信号,也可以传输由内机发送给外机的桌面视频信号。本实施例中,实施例中,物理信道采用的是本领域常用的usb数据线来实现;上述usb数据线可以利用光纤或双绞线等替代。由于键盘信号、鼠标信号和桌面视频信号不使用任何一种网络物理层、接入层和网络层协议,且物理信道与内机和外机之间通过usb接口连接,从而保证了内机与外机之间无法将其设置为网络接口,上述usb接口可以由光纤接口替代。
73.构成极小信号集信道的物理信道上设置有信号过滤单元。本实施例中,以单片机作为过滤单元;也可以以fpga器件或可编程网卡等作为信号过滤单元。该信号过滤单元对每一次传输的信号包进行检查过滤,外机接收的信号包中除鼠标或键盘信号外的其他信号包以及内机接收的信号包中除桌面视频信号外的其他信号包将被阻挡。通过该信号过滤单元,可以保证外机向内机只传输键盘鼠标信号,内机向外机只传输桌面视频信号。进一步
地,还可以对极小信号集信道上传输的信号进行加密,以增加信号传输的安全性。
74.如图4所示,上述外机设置有两个以上的虚拟桌面实例,可以支持两个以上的虚拟桌面,从而实现外机可以同时与多个远程终端设备通信。所有虚拟桌面实例均对应一个外机操作系统。当外机接收到来自远程终端设备的登录请求时,外机可以随机启动任一空闲的虚拟桌面实例,打开一个虚拟桌面。
75.上述外机安装有内外机协作模块设置和通道管理模块。通道管理模块用于对极小信号集的信号通道进行管理,当接收到发送请求时,找到一条空闲的信号通道,作为与启动的虚拟桌面实例对应的传输键盘/鼠标信号、桌面视频信号的专用通道。内外机协作模块用于将接收的来自远程终端设备的键盘或/和鼠标信号,通过通道管理模块找到的信号通道作为专用通道传输至内机;内外机协作模块并将从极小信号集信道传输来的桌面视频信号由远程操作程序经互联网发送远程终端设备。
76.如图4所示,上述内机设置有两个以上的虚拟桌面实例,可以支持两个以上的虚拟桌面,从而实现内机同时与多个被操作终端设备通信。内机内安装有与每个虚拟桌面实例对应的虚拟操作系统。
77.上述内机虚拟操作系统和被操作终端设备可以分别通过安装的基于rdp远程桌面协议的远程桌面访问工具(例如windows远程桌面终端)实现内机对被操作终端设备的访问;当然也可以通过ssh远程终端工具或sql终端工具等其他远程操作程序或被操作终端设备自身配置的相应应用软件实现内机对被操作终端设备的访问。进一步,每个内机虚拟操作系统还安装有资源访问控制模块,该资源访问控制模块用于依据远程终端设备操作者权限,提供可以使用的远程桌面访问工具、远程操作程序或指定应用软件。进一步,每个内机虚拟操作系统还安装有转换模块,用于将来自被操作终端设备反馈的访问结果转换成桌面视频信号。
78.为了进一步提升访问安全性,在远程终端设备登录外机时,可以进一步增加短息验证码,以保证只有持有指定手机号码的用户能够访问相应的外机。
79.实施例4
80.本实施例提供了一种实现网络隔断下的安全跨网访问方法,使用实施例3给出的安全跨网访问系统按照以下步骤进行操作:
81.s1
′
远程终端设备将外机登录请求经互联网发送给内外网安全访问设备的外机;登录成功后,外机打开一个虚拟桌面实例,将相应的桌面视频信号发送给外机远程终端设备,并启动内外机协作模块。
82.这里的登录请求包括外机用户名和密码。当外机接收到的用户名和密码合法时,外机操作系统登录成功,并启动一个外机虚拟桌面实例。外机将相应的桌面视频信号发送给外机远程终端设备,同时启动相应的内外机协作模块。
83.s2
′
内外网协作模块将接收的来自远程终端设备的内机桌面登录请求键盘或/和鼠标信号经极小信号集信道发送内机;登录成功后,内机打开一个虚拟桌面实例及相应的虚拟操作系统,将相应的桌面视频信号经上述专用信道发送给外机;外机进一步将接收到的桌面视频信号发送给远程终端设备。
84.远程终端设备将内机登录请求(包括用户名和密码)键盘或/和鼠标信号经互联网发送给外机。外机的内外网协作模块通过通道管理模块选择极小信号集信道中的一条空闲
信号通道作为与虚拟桌面实例相应的专用信道(传输由外机发送至内机的键盘/鼠标信号以及由内机发送至外机的桌面视频信号)将桌面登录请求键盘或/和鼠标信号经极小信号集信道发送内机。当内机接收到的内机用户名和密码合法时,内机操作系统登录成功,内机启动一个内机虚拟桌面实例以及相应的内机虚拟操作系统。内机将相应的桌面视频信号经极小信号集信道的桌面视频信号专用通道发送给外机。外机进一步将接收到的桌面视频信号发送给远程终端设备。
85.s3
′
内外网协作模块将接收的来自远程终端设备的被操作终端设备启动请求键盘或/和鼠标信号经极小信号集信道发送内机;当内机接收到的被操作终端设备启动请求键盘或/和鼠标信号满足要求时,启动内机虚拟操作系统安装的远程操作程序或指定应用软件,建立内机与被操作终端设备的通信连接。
86.这里被操作终端设备启动请求是为了建立内机与被操作终端设备之间的通信连接。由于被操作终端设备可以为计算机,也可以为诸如生产设备、检测设备、监测设备等。当被操作终端设备为计算机时,内机与被操作终端设备之间可以通过基于rdp远程桌面协议的远程桌面访问工具或ssh远程终端工具或sql终端工具其他远程操作程序建立连接,访问被操作终端设备。当被操作终端设备为生产设备、检测设备、监测设备等,内机可以通过这些设备所配置的相应软件来建立连接。
87.因此,远程终端设备可以将被操作终端设备启动请求键盘或/和鼠标信号经互联网发送给外机,外机的内外网协作模块通过上述专用通道将接收的被操作终端设备启动请求经极小信号集信道发送内机,内机虚拟操作系统依据接收的被操作终端设备启动请求,启动远程桌面访问工具、ssh远程终端工具、sql终端工具或配置的相应软件,建立内机与被操作终端设备之间的通信连接。
88.进一步的,为了确保被操作终端设备数据安全,避免操作者从远程终端设备对其产生误操作或者恶意操作,可以通过内机虚拟操作系统设置的资源访问控制模块依据内机用户名对应的用户设置使用权限,使该用户只能对某一或某些应用程序进行操作。
89.s4
′
内外网协作模块将接收的来自远程终端设备的被操作终端设备访问指令键盘或/和鼠标信号经极小信号集信道发送内机;内机虚拟操作系统依据接收到的被操作终端设备访问指令键盘或/和鼠标信号,通过远程操作程序或指定应用软件访问被操作终端设备。
90.内机与被操作终端设备建立通信连接后。远程终端设备便通过内机和外机构成的内外机安全访问设备对被操作终端设备进行访问了。与前面给出的操作相同,远程终端设备可以将被操作终端设备访问指令键盘或/和鼠标信号经互联网发送给外机,外机内外网协作模块通过上述专用通道将接收的被操作终端设备访问指令经极小信号集信道发送内机,内机相应虚拟操作系统进一步将被操作终端访问指令,经内网发送给被操作终端设备,最终由被操作终端设备按照访问指令执行操作。被操作终端设备反馈给内机的访问结果,通过内机虚拟操作系统安装的转换模块将来自被操作终端设备反馈的访问结果转换成桌面视频信号,经极小信号集信道发送给外机。外机进一步将接收到的桌面视频信号发送给远程终端设备。
91.进一步地,上述极小信号集信道上的信号过滤单元过滤掉除上述步骤s2
′
、s3
′
、s4
′
中的内机登录请求、被操作终端设备启动请求,或者被操作终端设备访问指令键盘或/
和鼠标信号以及内机发送给外机的桌面视频信号之外的其它信号,以保证远程操作活动过程中的数据安全和网络安全。
92.本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的原理,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
技术特征:
1.一种实现网络隔断下的安全跨网访问系统,其特征在于包括远程终端设备、内外网安全访问设备和被操作终端设备;所述内外网安全访问设备包括经极小信号集信道连接的外机和内机,以及设置于外机内的内外机协作模块和通道管理模块;所述极小信号集信道由一条以上的物理信道或者一条物理信道上按照设定标准划分出的一条以上的虚拟信道构成信号通道;所述外机通过互联网与远程终端设备通信连接,外机中的内外机协作模块通过通道管理模块选择一条空闲的信号通道,将接收的键盘或/和鼠标信号发送给内机;所述内机依据接收的键盘或/和鼠标信号,与被操作终端设备经内网建立通信连接,并将被操作终端设备桌面视频信号经相应信号通道发送给外机,外机再经互联网将被操作终端设备桌面视频信号发送给远程终端设备。2.根据权利要求1所述的实现网络隔断下的安全跨网访问系统,其特征在于所述极小信号集信道上设置有信号过滤单元。3.根据权利要求1或2所述的实现网络隔断下的安全跨网访问系统,其特征在于所述外机设置有两个以上的虚拟桌面实例;所述内机设置有两个以上的虚拟桌面实例。4.根据权利要求3所述的实现网络隔断下的安全跨网访问系统,其特征在于内机所有虚拟桌面实例均对应一个内机操作系统,或者每个虚拟桌面实例对应于一个内机虚拟操作系统。5.根据权利要求4所述的实现网络隔断下的安全跨网访问系统,其特征在于所述内机操作系统或虚拟操作系统进一步安装有资源访问控制模块,用于依据远程终端设备操作者权限,提供使用的远程操作程序或指定应用软件。6.根据权利要求4所述的实现网络隔断下的安全跨网访问系统,其特征在于所述内机操作系统或虚拟操作系统进一步安装有转换模块,用于将来自被操作终端设备反馈的访问结果转换成桌面视频信号。7.一种实现网络隔断下的安全跨网访问方法,其特征在于使用权利要求1或2所述实现网络隔断下的安全跨网访问系统,按照以下步骤进行操作:s1远程终端设备将外机登录请求经互联网发送给内外网安全访问设备的外机;登录成功后,外机将相应的桌面视频信号发送给外机远程终端设备,并启动内外机协作模块;s2内外网协作模块将接收的来自远程终端设备的内机桌面登录请求键盘或/和鼠标信号经极小信号集信道发送给内机;登录成功后,内机将相应的桌面视频信号经上述专用信道发送给外机;外机进一步将接收到的桌面视频信号发送给远程终端设备;s3内外网协作模块将接收的来自远程终端设备的被操作终端设备启动请求键盘或/和鼠标信号经极小信号集信道发送内机,当内机接收到的被操作终端设备启动请求键盘或/和鼠标信号满足要求时,内机启动用于操控被操作终端设备的远程操作程序或指定应用软件,建立内机与被操作终端设备的通信连接;s4内外网协作模块将接收的来自远程终端设备的被操作终端设备访问指令键盘或/和鼠标信号经极小信号集信道发送内机,内机依据接收到的被操作终端设备访问指令键盘或/和鼠标信号,通过远程操作程序或指定应用软件访问被操作终端设备。8.根据权利要求7所述实现网络隔断下的安全跨网访问方法,其特征在于极小信号集信道上的信号过滤单元过滤掉除上述步骤s2、s3、s4中的内机登录请求、被操作终端设备启
动请求,或者被操作终端设备访问指令键盘或/和鼠标信号以及内机发送给外机的桌面视频信号之外的其它信号。9.一种实现网络隔断下的安全跨网访问方法,其特征在于使用权利要求3至6任一项所述实现网络隔断下的安全跨网访问系统,按照以下步骤进行操作:s1
′
远程终端设备将外机登录请求经互联网发送给内外网安全访问设备的外机;登录成功后,外机打开一个虚拟桌面实例,将相应的桌面视频信号发送给外机远程终端设备,并启动内外机协作模块;s2
′
内外网协作模块将接收的来自远程终端设备的内机桌面登录请求键盘或/和鼠标信号经极小信号集信道发送内机;登录成功后,内机打开一个虚拟桌面实例,将相应的桌面视频信号经上述专用信道发送给外机;外机进一步将接收到的桌面视频信号发送给远程终端设备;s3
′
内外网协作模块将接收的来自远程终端设备的被操作终端设备启动请求键盘或/和鼠标信号经极小信号集信道发送内机;当内机接收到的被操作终端设备启动请求键盘或/和鼠标信号满足要求时,启动内机操作系统或虚拟操作系统安装的远程操作程序或指定应用软件,建立内机与被操作终端设备的通信连接;s4
′
内外网协作模块将接收的来自远程终端设备的被操作终端设备访问指令键盘或/和鼠标信号经极小信号集信道发送内机;内机操作系统或虚拟操作系统依据接收到的被操作终端设备访问指令键盘或/和鼠标信号,通过远程操作程序或指定应用软件访问被操作终端设备。10.根据权利要求9所述实现网络隔断下的安全跨网访问方法,其特征在于极小信号集信道上的信号过滤单元过滤掉除上述步骤s2
′
、s3
′
、s4
′
中的内机登录请求、被操作终端设备启动请求,或者被操作终端设备访问指令键盘或/和鼠标信号以及内机发送给外机的桌面视频信号之外的其它信号。
技术总结
本发明公开了一种实现网络隔断下的安全跨网访问系统及方法,该系统包括远程终端设备、内外网安全访问设备和被操作终端设备;内外网安全访问设备包括经极小信号集信道连接的外机和内机,以及设置于外机内的内外机协作模块和通道管理模块。通过设置的内外网安全访问设备将外网和内网隔断开,外机通过互联网与远程终端设备通信连接,内机通过内网与被操作终端设备通信连接,外机与内机之间通过极小信号集信道连接,并通过设置的信号过滤单元过滤掉除键盘信号、鼠标信号或桌面视频信号以外的其它信号,从而内机和外机之间保证只允许单个方向的桌面视频信号传输,相反方向的鼠标键盘信号传输,保证在网络隔断前提下,能够实现安全跨网远程操作。全跨网远程操作。全跨网远程操作。
技术研发人员:刘小明
受保护的技术使用者:成都普沛科技有限公司
技术研发日:2021.11.25
技术公布日:2022/3/8