[发明专利]一种基于代理技术的SSH协议运维审计系统的审计方法

权利要求书

1.一种基于代理技术的SSH协议运维审计系统的审计方法，其特征在于：包括代理服务器，客户端和目标服务器，所述客户端通过所述代理服务器与所述目标服务器进行运维会话通信；其中，所述代理服务器包括：Web管理模块、代理模块和回放监控模块；

所述Web管理模块分别与客户端和所述代理模块连接，用于连接代理服务器和客户端；

所述代理模块将Web管理模块传输的运维会话通信数据经检测后传输至目标服务器，并将目标服务器的反馈信息通过Web管理模块传输至客户端；其中所述代理模块包括认证服务模块、数据记录模块和数据库，其中，认证服务模块用于认证客户端的身份和权限；所述数据记录模块用于存储客户端与目标服务器之间所有的运维会话通信数据；所述数据库用于存储目标服务器的相关信息；

所述回放监控模块用于从所述数据记录模块中提取监控回放所需的运维会话通信数据，通过回放监控模块中的回放监控插件将对应的运维会话通信数据反馈到客户端；

包括以下步骤：

步骤1：运维人员或审计人员通过客户端的Web浏览器登录代理服务器，代理服务器中的认证服务模块对客户端的身份和权限进行认证；

步骤2：身份认证通过后，客户端和目标服务器通过代理服务器建立通信，所述代理服务器中的数据记录模块记录客户端和目标服务器之间所有的运维会话通信数据；

步骤3：代理服务器对客户端和目标服务器之间的运维会话通信数据进行检测，发现异常的运维会话通信数据，则中断客户端和目标服务器之间的所有的运维会话通信；

步骤4：所述监控回放模块根据客户端发来的监控回放指令，从所述数据记录模块中提取监控回放所需的运维会话通信数据，通过回放监控插件将对应的运维会话通信数据反馈到客户端；

其中，所述步骤4中，如果客户端发来的是监控指令，所述监控回放模块从数据记录模块中调取客户端和目标服务器之间通信的实时运维会话通信数据；如果客户端发来的是回放指令，所述监控回放模块根据监控指令从数据记录模块中调取客户端和目标服务器之间通信的已经完成的运维会话通信数据；

所述运维人员发送回放监控指令时，监控回放模块进行回放的方法为：

步骤401：代理服务器生成一个32位的随机用户名和32位的随机密码；

步骤402：代理服务器利用ActiveX控件将32位的随机用户名、32位的随机密码、运维会话号、目标服务器端口号、目标服务器IP地址作为命令行参数启动监控回放模块中的回放监控插件；

步骤403：回放监控插件将ActiveX控件传来的命令行参数和其他参数组合成一个认证数据包；其他参数包括代理服务器的IP地址及服务监听端口位置，所述其他参数组合用来查找内存数据库，以完成身份认证；

步骤404：回放监控插件将认证数据包发动到认证服务模块中，认证服务模块验证32位的随机用户名和32位的随机密码是否正确，如果正确，回放监控模块在数据记录模块中查找需要的运维会话对应的数据结构，如果发现运维会话还没有结束，那么将不能回放；如果发现运维会话已经结束，就在数据记录模块中查找运维会话数据，并将查找的数据发送至客户端；如果32位的随机用户名和32位的随机密码不正确，则将错误信息反馈至客户端；

其中，存储回放数据的文件是以运维会话号作为文件的名称的，通过在路径下寻找是否有名称为运维会话号的文件，就可以判断是否存在回放数据，如果没有查找到，则不能回放，如果查找到开始向客户端发送数据，发送数据的格式如下：首先发送文件的大小，然后发送文件头，文件头由版本号，会话起始时间，会话起始时间，会话结束时间，会话结束时间组成，然后开始发送命令；回放插件逐条解析数据，并通过VT100的方式将数据显示出来；回放程序将运维回话记录数据从数据文件中读取出来并将其显示在界面上；回放线程中涉及到播放控制，同时实现了快进，向前跳转，向后跳转，暂停的功能。

2.根据权利要求1所述的基于代理技术的SSH协议运维审计系统的审计方法，其特征在于：所述步骤1中的认证服务模块对客户端的身份和权限进行认证的方法为：

步骤101：Web管理模块将客户端发送的需要运维的目标服务器的相关信息发送至代理模块；

步骤102：代理模块将接收到的需要运维的目标服务器的相关信息输入到内存数据库中进行查询；其中内存数据库为数据库的一部分，用户缓存一部分目标服务器的相关信息；

步骤103：判断需要运维的目标服务器是否存在内存数据库中，若需要运维的目标服务器已在内存数据库的设备表中，则记录需要运维的目标服务器在内存数据库设备表中的位置；若需要运维的目标服务器不在内存数据库的设备表中，则数据库中读取需要 运维的目标服务器的相关信息，将读取的相关信息插入到内存数据库的设备表中并记录读取的相关信息在内存数据库设备表中的位置；

步骤104：认证服务模块将生成一条认证数据，并将生成的认证数据插入到内存数据库认证表中，其中，认证数据包括：需要运维的目标服务器的相关信息在内存数据库设备表中的位置、客户端IP、运维人员账号、32位的随机用户名和32位随机密码，其中随机用户名前8位为生成的认证数据在内存数据库认证表中的位置；

步骤105：代理服务器通过ActiveX插件启动标准运维客户端，并将32位随机用户名、32位随机密码以及代理服务器自身连接信息发送给客户端；其中，代理服务器自身连接信息包括：代理服务器的IP地址、代理服务器与客户端的连接端口；

步骤106：客户端通过连接信息连接至代理服务器，使用32位随机用户名和32位随机密码进行认证；代理模块将收到的包括32位随机用户名和32位随机密码的认证信息发送给认证服务模块；认证服务模块到认证信息后，提取出随机用户名前8位的偏移信息并找到内存数据库认证表中指定数据，然后验证剩下56位随机串是否一致，若一致则根据数据库设备表中需要运维的目标服务器的位置信息找到需要运维的目标服务器的连接数据，将需要运维的目标服务器的连接数据发送给代理模块连接至需要运维的目标服务器；若验证不一致则返回认证错误信息至客户端。