云服务器的访问方法、系统、OpenVPN服务器和LDAP认证系统.pdf

《云服务器的访问方法、系统、OpenVPN服务器和LDAP认证系统.pdf》由会员分享，可在线阅读，更多相关《云服务器的访问方法、系统、OpenVPN服务器和LDAP认证系统.pdf（22页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201911395642.5 (22)申请日 2019.12.30 (71)申请人 四川虹美智能科技有限公司 地址 621050 四川省绵阳市涪城区九州大 道303号 (72)发明人 蒋承严杰陈良 (74)专利代理机构 济南信达专利事务所有限公 司 37100 代理人 程佩玉 (51)Int.Cl. H04L 29/06(2006.01) H04L 29/08(2006.01) H04L 29/12(2006.01) (54)发明名称 云服务器的访问方法、 系统、 OpenVPN。

2、服务器 和LDAP认证系统 (57)摘要 本发明提供了云服务器的访问方法、 系统、 OpenVPN服务器和LDAP认证系统， 应用于OpenVPN 服务器的方法， 包括组建由OpenVPN服务器、 LDAP 认证系统、 跳板机和至少一个云服务器组成的局 域网， 设置唯一可访问外网的外网端口， 接收当 前工作人员通过外网端口输入的访问请求； 将访 问请求中的待验证身份信息发送给LDAP认证系 统， 以使LDAP认证系统确定当前工作人员是否具 有访问各个云服务器中的待访问云服务器的权 限； 在接收到LDAP认证系统发来的访问授权信息 时， 将访问请求中的待访问云服务器的目标标识 发送给跳板机， 以。

3、使跳板机访问待访问云服务 器， 其中， 访问授权信息指示当前工作人员具有 访问待访问云服务器的权限。 本方案能够提高云 服务器的安全性。 权利要求书3页 说明书15页 附图3页 CN 111193737 A 2020.05.22 CN 111193737 A 1.云服务器的访问方法， 其特征在于， 应用于OpenVPN服务器， 组建由OpenVPN服务器、 LDAP认证系统、 跳板机和至少一个云服务器组成的局域网， 并设置唯一可访问外网的外网 端口， 包括： 接收当前工作人员通过所述外网端口输入的访问请求； 将所述访问请求中的待验证身份信息发送给LDAP认证系统， 以使所述LDAP认证系统根 。

4、据所述待验证身份信息确定所述当前工作人员是否具有访问所述至少一个云服务器中的 待访问云服务器的权限； 在接收到所述LDAP认证系统发来的访问授权信息时， 将所述访问请求中的所述待访问 云服务器的目标标识发送给所述跳板机， 以使所述跳板机访问所述待访问云服务器， 其中， 所述访问授权信息指示所述当前工作人员具有访问所述待访问云服务器的权限。 2.根据权利要求1所述的云服务器的访问方法， 其特征在于， 在所述接收当前工作人员通过所述外网端口输入的访问请求之后， 在所述将所述访问 请求中的待验证身份信息发送给LDAP认证系统之前， 进一步包括： A1： 确定所述访问请求中的目标标识指示的待访问云服务。

5、器是否位于用于产品开发运 维的开发运维系统中， 如果是， 执行A2， 否则， 执行A4； A2： 确定所述开发运维系统是否具有访问所述OpenVPN服务器的VPN网络的权限， 如果 是， 执行A3， 否则， 执行A8； A3： 执行所述将所述访问请求中的待验证身份信息发送给LDAP认证系统； A4： 确定所述待访问云服务器是否位于产品测试的测试环境系统中， 如果是， 执行A5， 否则， 执行A6； A5： 确定所述测试环境系统是否具有访问所述VPN网络的权限， 如果是， 执行A3， 否则， 执行A8； A6： 确定所述待访问云服务器是否位于向用户提供业务服务的生产环境系统中， 如果 是， 执行。

6、A7， 否则， 执行A8； A7： 确定所述生产环境系统是否具有访问所述VPN网络的权限， 如果是， 执行A3， 否则， 执行A8； A8： 通过所述外网端口输入提示信息， 其中， 所述提示信息指示所述当前工作人员无访 问所述待访问服务端权限； 和/或， 进一步包括： 通过22端口与所述跳板机交互； 和/或， 在所述将所述访问请求中的待验证身份信息发送给LDAP认证系统之后， 在所述将所述 访问请求中的所述待访问云服务器的目标标识发送给所述跳板机之前， 进一步包括： 在接收到所述LDAP认证系统根据所述待验证身份信息发来的身份认证信息时， 向所述 跳板机发送二次认证请求， 以使所述跳板机将所述。

7、二次认证请求发送给所述LDAP认证系 统， 并返回所述LDAP认证系统生成的动态验证信息， 其中， 所述身份认证信息指示所述当前 工作人员具有访问所述跳板机的权限； 通过所述外网端口将所述动态验证信息发送给所述当前工作人员的移动终端； 在接收到所述当前工作人员通过所述外网端口输入的当前动态验证信息时， 将所述当 权利要求书 1/3 页 2 CN 111193737 A 2 前动态验证信息通过跳板机发送给所述LDAP认证系统， 以使所述LDAP认证系统根据所述当 前动态验证信息和发送给所述移动终端的所述动态验证信息， 确定所述当前工作人员是否 具有访问所述待访问云服务器的权限。 3.根据权利要求。

8、1或2中任一所述的云服务器的访问方法， 其特征在于， 在所述接收当前工作人员通过外网端口输入的访问请求之前， 进一步包括： 确定所述OpenVPN服务器在所述局域网中的内网IP； 将所述内网IP映射为至少一个公网IP， 以使外网端口通过所述至少一个公网IP中的目 标公网IP建立连接。 4.云服务器的访问方法， 其特征在于， 包括： 应用于LDAP认证系统； 接收OpenVPN服务器发来的当前工作人员的待验证身份信息， 其中， 所述待验证身份信 息为所述OpenVPN服务器通过唯一可访问外网的外网端口接收； 根据所述待验证身份信息， 确定所述当前工作人员是否具有访问待访问云服务器的权 限； 当确。

9、定所述当前工作人员具有访问待访问云服务器的权限时， 向所述OpenVPN服务器 发送访问授权信息， 以使所述跳板机访问所述OpenVPN服务器发送的目标标识指示的所述 待访问云服务器， 其中， 所述访问授权信息指示所述当前工作人员具有访问至少一个云服 务器中的待访问云服务器的权限， 所述LDAP认证系统、 所述OpenVPN服务器、 所述跳板机和 所述至少一个云服务器位于同一局域网内。 5.根据权利要求4所述的云服务器的访问方法， 其特征在于， 所述根据所述待验证身份信息， 确定所述当前工作人员是否具有访问待访问云服务器 的权限， 当确定所述当前工作人员具有访问待访问云服务器的权限时， 向所述。

10、OpenVPN服务 器发送访问授权信息， 包括： 确定预存的至少一个合法工作人员的身份信息中， 是否存在与所述待验证身份信息相 匹配的信息； 当确定存在与所述待验证身份信息相匹配的信息时， 向所述OpenVPN服务器发送身份 认证信息， 其中， 所述身份认证信息指示所述当前工作人员具有访问跳板机的权限； 在接收到所述跳板机发送的二次认证请求时生成动态验证信息， 其中， 所述二次认证 请求为所述OpenVPN服务器根据所述身份认证信息发送给所述跳板机的信息； 将所述动态验证信息通过所述跳板机发送给所述OpenVPN服务器， 以使OpenVPN服务器 通过外网端口将所述动态验证信息发送给所述当前工。

11、作人员的移动终端； 在接收到所述跳板机发送的当前动态验证信息时， 确定所述当前动态验证信息是否与 所述动态验证信息相匹配， 其中， 所述当前动态验证信息为， 所述OpenVPN服务器发送给所 述跳板机的所述当前工作人员输入的信息； 当所述当前动态验证信息与发送给所述移动终端的所述动态验证信息相匹配时， 通过 所述跳板机向所述OpenVPN服务器发送访问授权信息。 6.OpenVPN服务器， 其特征在于， 包括： 配置模块， 用于组建由OpenVPN服务器、 LDAP认证系统、 跳板机和至少一个云服务器组 成的局域网， 并设置唯一可访问外网的外网端口； 外网交互模块， 用于接收当前工作人员通过所。

12、述配置模块设置的所述外网端口输入的 权利要求书 2/3 页 3 CN 111193737 A 3 访问请求； 内网验证模块， 用于将所述外网交互模块接收的所述访问请求中的待验证身份信息发 送给LDAP认证系统， 以使所述LDAP认证系统根据所述待验证身份信息确定所述当前工作人 员是否具有访问所述至少一个云服务器中的待访问云服务器的权限； 内网访问模块， 用于在所述内网验证模块接收到所述LDAP认证系统发来的访问授权信 息时， 将所述外网交互模块接收的所述访问请求中的所述待访问云服务器的目标标识发送 给所述跳板机， 以使所述跳板机访问所述待访问云服务器， 其中， 所述访问授权信息指示所 述当前工。

13、作人员具有访问所述待访问云服务器的权限。 7.LDAP认证系统， 其特征在于， 包括： 认证交互模块， 用于接收OpenVPN服务器发来的当前工作人员的待验证身份信息， 其 中， 所述待验证身份信息为所述OpenVPN服务器通过唯一可访问外网的外网端口接收； 当认 证处理模块确定所述当前工作人员具有访问待访问云服务器的权限时， 向所述OpenVPN服 务器发送访问授权信息， 以使所述跳板机访问所述OpenVPN服务器发送的目标标识指示的 所述待访问云服务器， 其中， 所述访问授权信息指示所述当前工作人员具有访问至少一个 云服务器中的待访问云服务器的权限； 所述认证处理模块， 用于根据所述认证交。

14、互模块接收的所述待验证身份信息， 确定所 述当前工作人员是否具有访问待访问云服务器的权限， 其中， 所述LDAP认证系统、 所述 OpenVPN服务器、 所述跳板机和所述至少一个云服务器位于同一局域网内。 8.云服务器的访问系统， 其特征在于， 包括： 权利要求6所述的OpenVPN服务器、 权利要 求7所述的LDAP认证系统、 跳板机和至少一个云服务器； 所述跳板机， 用于在接收到所述OpenVPN服务器发来的目标标识时， 根据所述目标标识 访问所述至少一个云服务器中的待访问云服务器， 其中， 所述目标标识为所述OpenVPN服务 器在接收到来自所述LDAP认证系统的访问授权信息后发送的信息。

15、， 所述访问授权信息指示 所述当前工作人员具有访问所述待访问云服务器的权限。 9.根据权利要求8所述的云服务器的访问系统， 其特征在于， 当所述至少一个云服务器， 包括： 由至少一个第一云服务器组成的用于产品开发运维 的开发运维系统、 由至少一个第二云服务器组成的用于产品测试的测试环境系统以及由至 少一个第三云服务器组成的用于向用户提供业务服务的生产环境系统时， 所述开发运维系统、 所述测试环境系统和所述生产环境系统均通过22端口与所述跳板 机交互。 10.根据权利要求9所述的云服务器的访问系统， 其特征在于， 所述跳板机， 进一步用于执行： 当所述待访问云服务器为所述开发运维系统中的云服务器。

16、， 且所述当前工作人员具有 运维权限时， 根据所述目标标识访问所述待访问云服务器； 当所述待访问云服务器为所述测试环境系统中的云服务器， 且所述当前工作人员具有 研发权限或运维权限时， 根据所述目标标识访问所述待访问云服务器； 当所述待访问云服务器为所述生产环境系统中的云服务器， 且所述当前工作人员具有 运维权限时， 根据所述目标标识访问所述待访问云服务器。 权利要求书 3/3 页 4 CN 111193737 A 4 云服务器的访问方法、 系统、 OpenVPN服务器和LDAP认证系统 技术领域 0001 本发明涉及计算机技术领域， 特别涉及云服务器的访问方法、 系统、 OpenVPN服务 。

17、器和LDAP认证系统。 背景技术 0002 目前， 为了方便运维人员对集群中的云服务器进行维护管理， 访问云服务器的端 口通常会放在公网上。 0003 但是， 如果某一台云服务器有漏斗未及时修补， 被攻击者批量扫描到以后， 攻击者 可直接利用漏洞对云服务器进行恶意修改、 提权、 破坏等的操作， 从而威胁整个集群的安 全。 发明内容 0004 本发明实施例提供了云服务器的访问方法、 系统、 OpenVPN服务器和LDAP认证系 统， 能够提高云服务器的安全性。 0005 第一方面， 本发明提供了云服务器的访问方法， 应用于OpenVPN服务器， 组建由 OpenVPN服务器、 LDAP认证系统、。

18、 跳板机和至少一个云服务器组成的局域网， 并设置唯一可 访问外网的外网端口， 包括： 0006 接收当前工作人员通过所述外网端口输入的访问请求； 0007 将所述访问请求中的待验证身份信息发送给LDAP认证系统， 以使所述LDAP认证系 统根据所述待验证身份信息确定所述当前工作人员是否具有访问所述至少一个云服务器 中的待访问云服务器的权限； 0008 在接收到所述LDAP认证系统发来的访问授权信息时， 将所述访问请求中的所述待 访问云服务器的目标标识发送给所述跳板机， 以使所述跳板机访问所述待访问云服务器， 其中， 所述访问授权信息指示所述当前工作人员具有访问所述待访问云服务器的权限。 000。

19、9 优选地， 0010 在所述接收当前工作人员通过所述外网端口输入的访问请求之后， 在所述将所述 访问请求中的待验证身份信息发送给LDAP认证系统之前， 进一步包括： 0011 A1： 确定所述访问请求中的目标标识指示的待访问云服务器是否位于用于产品开 发运维的开发运维系统中， 如果是， 执行A2， 否则， 执行A4； 0012 A2： 确定所述开发运维系统是否具有访问所述OpenVPN服务器的VPN网络的权限， 如果是， 执行A3， 否则， 执行A8； 0013 A3： 执行所述将所述访问请求中的待验证身份信息发送给LDAP认证系统； 0014 A4： 确定所述待访问云服务器是否位于产品测试。

20、的测试环境系统中， 如果是， 执行 A5， 否则， 执行A6； 0015 A5： 确定所述测试环境系统是否具有访问所述VPN网络的权限， 如果是， 执行A3， 否 则， 执行A8； 说明书 1/15 页 5 CN 111193737 A 5 0016 A6： 确定所述待访问云服务器是否位于向用户提供业务服务的生产环境系统中， 如果是， 执行A7， 否则， 执行A8； 0017 A7： 确定所述生产环境系统是否具有访问所述VPN网络的权限， 如果是， 执行A3， 否 则， 执行A8； 0018 A8： 通过所述外网端口输入提示信息， 其中， 所述提示信息指示所述当前工作人员 无访问所述待访问服务。

21、端权限。 0019 优选地， 0020 进一步包括： 通过22端口与所述跳板机交互。 0021 优选地， 0022 在所述将所述访问请求中的待验证身份信息发送给LDAP认证系统之后， 在所述将 所述访问请求中的所述待访问云服务器的目标标识发送给所述跳板机之前， 进一步包括： 0023 在接收到所述LDAP认证系统根据所述待验证身份信息发来的身份认证信息时， 向 所述跳板机发送二次认证请求， 以使所述跳板机将所述二次认证请求发送给所述LDAP认证 系统， 并返回所述LDAP认证系统生成的动态验证信息， 其中， 所述身份认证信息指示所述当 前工作人员具有访问所述跳板机的权限； 0024 通过所述外。

22、网端口将所述动态验证信息发送给所述当前工作人员的移动终端； 0025 在接收到所述当前工作人员通过所述外网端口输入的当前动态验证信息时， 将所 述当前动态验证信息通过跳板机发送给所述LDAP认证系统， 以使所述LDAP认证系统根据所 述当前动态验证信息和发送给所述移动终端的所述动态验证信息， 确定所述当前工作人员 是否具有访问所述待访问云服务器的权限。 0026 优选地， 0027 在所述接收当前工作人员通过外网端口输入的访问请求之前， 进一步包括： 0028 确定所述OpenVPN服务器在所述局域网中的内网IP； 0029 将所述内网IP映射为至少一个公网IP， 以使外网端口通过所述至少一个。

23、公网IP中 的目标公网IP建立连接。 0030 第二方面， 本发明提供了云服务器的访问方法， 包括： 应用于LDAP认证系统； 0031 接收OpenVPN服务器发来的当前工作人员的待验证身份信息， 其中， 所述待验证身 份信息为所述OpenVPN服务器通过唯一可访问外网的外网端口接收； 0032 根据所述待验证身份信息， 确定所述当前工作人员是否具有访问待访问云服务器 的权限； 0033 当确定所述当前工作人员具有访问待访问云服务器的权限时， 向所述OpenVPN服 务器发送访问授权信息， 以使所述跳板机访问所述OpenVPN服务器发送的目标标识指示的 所述待访问云服务器， 其中， 所述访问。

24、授权信息指示所述当前工作人员具有访问至少一个 云服务器中的待访问云服务器的权限， 所述LDAP认证系统、 所述OpenVPN服务器、 所述跳板 机和所述至少一个云服务器位于同一局域网内。 0034 优选地， 0035 所述根据所述待验证身份信息， 确定所述当前工作人员是否具有访问待访问云服 务器的权限， 当确定所述当前工作人员具有访问待访问云服务器的权限时， 向所述OpenVPN 服务器发送访问授权信息， 包括： 说明书 2/15 页 6 CN 111193737 A 6 0036 确定预存的至少一个合法工作人员的身份信息中， 是否存在与所述待验证身份信 息相匹配的信息； 0037 当确定存在。

25、与所述待验证身份信息相匹配的信息时， 向所述OpenVPN服务器发送 身份认证信息， 其中， 所述身份认证信息指示所述当前工作人员具有访问跳板机的权限； 0038 在接收到所述跳板机发送的二次认证请求时生成动态验证信息， 其中， 所述二次 认证请求为所述OpenVPN服务器根据所述身份认证信息发送给所述跳板机的信息； 0039 将所述动态验证信息通过所述跳板机发送给所述OpenVPN服务器， 以使OpenVPN服 务器通过外网端口将所述动态验证信息发送给所述当前工作人员的移动终端； 0040 在接收到所述跳板机发送的当前动态验证信息时， 确定所述当前动态验证信息是 否与所述动态验证信息相匹配，。

26、 其中， 所述当前动态验证信息为， 所述OpenVPN服务器发送 给所述跳板机的所述当前工作人员输入的信息； 0041 当所述当前动态验证信息与发送给所述移动终端的所述动态验证信息相匹配时， 通过所述跳板机向所述OpenVPN服务器发送访问授权信息。 0042 第三方面， 本发明提供了OpenVPN服务器， 包括： 0043 配置模块， 用于组建由OpenVPN服务器、 LDAP认证系统、 跳板机和至少一个云服务 器组成的局域网， 并设置唯一可访问外网的外网端口； 0044 外网交互模块， 用于接收当前工作人员通过所述配置模块设置的所述外网端口输 入的访问请求； 0045 内网验证模块， 用于。

27、将所述外网交互模块接收的所述访问请求中的待验证身份信 息发送给LDAP认证系统， 以使所述LDAP认证系统根据所述待验证身份信息确定所述当前工 作人员是否具有访问所述至少一个云服务器中的待访问云服务器的权限； 0046 内网访问模块， 用于在所述内网验证模块接收到所述LDAP认证系统发来的访问授 权信息时， 将所述外网交互模块接收的所述访问请求中的所述待访问云服务器的目标标识 发送给所述跳板机， 以使所述跳板机访问所述待访问云服务器， 其中， 所述访问授权信息指 示所述当前工作人员具有访问所述待访问云服务器的权限。 0047 第四方面， 本发明提供了LDAP认证系统， 包括： 0048 认证交。

28、互模块， 用于接收OpenVPN服务器发来的当前工作人员的待验证身份信息， 其中， 所述待验证身份信息为所述OpenVPN服务器通过唯一可访问外网的外网端口接收； 当 认证处理模块确定所述当前工作人员具有访问待访问云服务器的权限时， 向所述OpenVPN 服务器发送访问授权信息， 以使所述跳板机访问所述OpenVPN服务器发送的目标标识指示 的所述待访问云服务器， 其中， 所述访问授权信息指示所述当前工作人员具有访问至少一 个云服务器中的待访问云服务器的权限； 0049 所述认证处理模块， 用于根据所述认证交互模块接收的所述待验证身份信息， 确 定所述当前工作人员是否具有访问待访问云服务器的权。

29、限， 其中， 所述LDAP认证系统、 所述 OpenVPN服务器、 所述跳板机和所述至少一个云服务器位于同一局域网内。 0050 第五方面， 本发明提供了云服务器的访问系统， 包括： 第三方面所述的OpenVPN服 务器、 第四方面所述的LDAP认证系统、 跳板机和至少一个云服务器； 0051 所述跳板机， 用于在接收到所述OpenVPN服务器发来的目标标识时， 根据所述目标 标识访问所述至少一个云服务器中的待访问云服务器， 其中， 所述目标标识为所述OpenVPN 说明书 3/15 页 7 CN 111193737 A 7 服务器在接收到来自所述LDAP认证系统的访问授权信息后发送的信息， 。

30、所述访问授权信息 指示所述当前工作人员具有访问所述待访问云服务器的权限。 0052 优选地， 0053 当所述至少一个云服务器， 包括： 由至少一个第一云服务器组成的用于产品开发 运维的开发运维系统、 由至少一个第二云服务器组成的用于产品测试的测试环境系统以及 由至少一个第三云服务器组成的用于向用户提供业务服务的生产环境系统时， 0054 所述开发运维系统、 所述测试环境系统和所述生产环境系统均通过22端口与所述 跳板机交互。 0055 优选地， 0056 所述跳板机， 进一步用于执行： 0057 当所述待访问云服务器为所述开发运维系统中的云服务器， 且所述当前工作人员 具有运维权限时， 根据。

31、所述目标标识访问所述待访问云服务器； 0058 当所述待访问云服务器为所述测试环境系统中的云服务器， 且所述当前工作人员 具有研发权限或运维权限时， 根据所述目标标识访问所述待访问云服务器； 0059 当所述待访问云服务器为所述生产环境系统中的云服务器， 且所述当前工作人员 具有运维权限时， 根据所述目标标识访问所述待访问云服务器。 0060 本发明实施例提供了云服务器的访问方法、 系统、 OpenVPN服务器和LDAP认证系 统， 将OpenVPN服务器、 LDAP认证系统、 跳板机和至少一个云服务器设置在同一局域网内， 并 设置唯一一个可访问外网的外网端口， 使得工作人员如需与LDAP认证。

32、系统、 跳板机或者云 服务器交互， 需要通过外网端口才可实现， 避免LDAP认证系统、 跳板机以及云服务器暴露在 公网上， 提高云服务器的安全性； 当前工作人员通过外网端口发来访问局域网内的待访问 云服务器的访问请求时， 需要通过LDAP认证系统对当前工作人员的待验证身份信息进行验 证， 当LDAP认证系统确定当前工作人员具有访问待访问云服务器的权限时， 跳板机才对待 访问云服务器进行访问， 避免非法人员对云服务器进行恶意修改、 提权、 破坏等的操作， 从 而可以进一步提高云服务器的安全性。 附图说明 0061 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实施例或现 有技术描。

33、述中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图是本发明 的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以根据 这些附图获得其他的附图。 0062 图1是本发明一实施例提供的云服务器的访问方法的流程图； 0063 图2是本发明另一实施例提供的云服务器的访问方法的流程图； 0064 图3是本发明一实施例提供的OpenVPN服务器的结构示意图； 0065 图4是本发明一实施例提供的LDAP认证系统的结构示意图； 0066 图5是本发明一实施例提供的云服务器的访问系统的结构示意图； 0067 图6是本发明另一实施例提供的云服务器的访问系统的结构示意。

34、图。 说明书 4/15 页 8 CN 111193737 A 8 具体实施方式 0068 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本发明实施例 中的附图， 对本发明实施例中的技术方案进行清楚、 完整地描述， 显然， 所描述的实施例是 本发明一部分实施例， 而不是全部的实施例， 基于本发明中的实施例， 本领域普通技术人员 在没有做出创造性劳动的前提下所获得的所有其他实施例， 都属于本发明保护的范围。 0069 如图1所示， 本发明实施例提供了云服务器的访问方法， 应用于OpenVPN服务器， 包 括： 0070 步骤101： 组建由OpenVPN服务器、 LDAP认证系统、。

35、 跳板机和至少一个云服务器组成 的局域网； 0071 步骤102： 设置唯一可访问外网的外网端口， 还包括： 0072 步骤103： 接收当前工作人员通过所述外网端口输入的访问请求； 0073 步骤104： 将所述访问请求中的待验证身份信息发送给LDAP认证系统， 以使所述 LDAP认证系统根据所述待验证身份信息确定所述当前工作人员是否具有访问所述至少一 个云服务器中的待访问云服务器的权限； 0074 步骤105： 在接收到所述LDAP认证系统发来的访问授权信息时， 将所述访问请求中 的所述待访问云服务器的目标标识发送给所述跳板机， 以使所述跳板机访问所述待访问云 服务器， 其中， 所述访问授。

36、权信息指示所述当前工作人员具有访问所述待访问云服务器的 权限。 0075 在本发明实施例中， 将OpenVPN服务器、 LDAP认证系统、 跳板机和至少一个云服务 器设置在同一局域网内， 并设置唯一一个可访问外网的外网端口， 使得工作人员如需与 LDAP认证系统、 跳板机或者云服务器交互， 需要通过外网端口才可实现， 避免LDAP认证系 统、 跳板机以及云服务器暴露在公网上， 提高云服务器的安全性； 当前工作人员通过外网端 口发来访问局域网内的待访问云服务器的访问请求时， 需要通过LDAP认证系统对当前工作 人员的待验证身份信息进行验证， 当LDAP认证系统确定当前工作人员具有访问待访问云服 。

37、务器的权限时， 跳板机才对待访问云服务器进行访问， 避免非法人员对云服务器进行恶意 修改、 提权、 破坏等的操作， 从而可以进一步提高云服务器的安全性。 0076 具体地， 传统的网络服务程序， 如FTP、 POP和Telnet其本质上都是不安全的； 因为 它们在网络上用明文传送数据、 用户帐号和用户口令， 很容易受到中间人攻击方式的攻击。 就是存在另一个人或者一台机器冒充真正的服务器接收用户传给服务器的数据， 然后再冒 充用户把数据传给真正的服务器。 0077 为了避免上述情况发生， 本发明的OpenVPN服务器可对跳板机开放22端口， 以使 OpenVPN服务器与跳板机通过22端口利用安全。

38、外壳协议SSH协议进行交互， 防止远程管理过 程中的信息泄露问题。 透过SSH可以对所有传输的数据进行加密， 也能够防止DNS欺骗和IP 欺骗。 0078 具体地， OpenVPN服务器、 LDAP认证系统、 跳板机和各个云服务器所在的局域网可 以是虚拟私有云VPC网络。 0079 为了提高云服务器的安全性， 在本发明一实施例中， 在所述接收当前工作人员通 过所述外网端口输入的访问请求之后， 在所述将所述访问请求中的待验证身份信息发送给 LDAP认证系统之前， 进一步包括： 说明书 5/15 页 9 CN 111193737 A 9 0080 A1： 确定所述访问请求中的目标标识指示的待访问云。

39、服务器是否位于用于产品开 发运维的开发运维系统中， 如果是， 执行A2， 否则， 执行A4； 0081 A2： 确定所述开发运维系统是否具有访问所述OpenVPN服务器的VPN网络的权限， 如果是， 执行A3， 否则， 执行A8； 0082 A3： 执行所述将所述访问请求中的待验证身份信息发送给LDAP认证系统； 0083 A4： 确定所述待访问云服务器是否位于产品测试的测试环境系统中， 如果是， 执行 A5， 否则， 执行A6； 0084 A5： 确定所述测试环境系统是否具有访问所述VPN网络的权限， 如果是， 执行A3， 否 则， 执行A8； 0085 A6： 确定所述待访问云服务器是否位。

40、于向用户提供业务服务的生产环境系统中， 如果是， 执行A7， 否则， 执行A8； 0086 A7： 确定所述生产环境系统是否具有访问所述VPN网络的权限， 如果是， 执行A3， 否 则， 执行A8； 0087 A8： 通过所述外网端口输入提示信息， 其中， 所述提示信息指示所述当前工作人员 无访问所述待访问服务端权限。 0088 在本发明实施例中， 为了避免非法人员对云服务器进行恶意修改、 提权、 破坏等的 操作， 可设置局域网中的用于产品开发运维的开发运维系统、 用于产品测试的测试环境系 统和用于向用户提供业务的生产环境系统是否具有接入OpenVPN服务器的网络的权限， 以 保证不同功能的系。

41、统内的云服务器的安全性。 0089 举例来说， 开发运维系统、 测试环境系统和生产环境系统接入OpenVPN网络的权限 如下表1所示： 0090 环境及服务器是否接入OpenVPN网络 研发运维相关系统是 测试环境否 生产环境是 0091 为了进一步提高云服务器的安全性， 在本发明一实施例中， 在所述将所述访问请 求中的待验证身份信息发送给LDAP认证系统之后， 在所述将所述访问请求中的所述待访问 云服务器的目标标识发送给所述跳板机之前， 进一步包括： 0092 在接收到所述LDAP认证系统根据所述待验证身份信息发来的身份认证信息时， 向 所述跳板机发送二次认证请求， 以使所述跳板机将所述二次。

42、认证请求发送给所述LDAP认证 系统， 并返回所述LDAP认证系统生成的动态验证信息， 其中， 所述身份认证信息指示所述当 前工作人员具有访问所述跳板机的权限； 0093 通过所述外网端口将所述动态验证信息发送给所述当前工作人员的移动终端； 0094 在接收到所述当前工作人员通过所述外网端口输入的当前动态验证信息时， 将所 述当前动态验证信息通过跳板机发送给所述LDAP认证系统， 以使所述LDAP认证系统根据所 述当前动态验证信息和发送给所述移动终端的所述动态验证信息， 确定所述当前工作人员 是否具有访问所述待访问云服务器的权限。 0095 在本发明实施例中， 当前工作人员发来访问请求后， 首。

43、选通过LDAP认证系统基于 访问请求中的待验证身份信息进行初步验证， 在确定当前工作人员具有访问跳板机的权限 说明书 6/15 页 10 CN 111193737 A 10 时， 再与跳板机建立连接， 以便跳板机返回LDAP认证系统生成的动态验证信息， 并将动态验 证信息发送给当前工作人员的移动终端， 以便当前工作人员查看。 这样在接收到当前工作 人员输入的当前动态验证信息时， 通过跳板机发送给LDAP认证系统， 以便LDAP认证系统基 于生成的动态验证信息和当前工作人员输入的当前动态验证信息， 确认当前工作人员是否 具有访问待访问云服务器的权限。 综上， 通过LDAP认证系统的双重认证， 可。

44、以防止非法人员 通过远程操作待访问云服务器， 从而实现提高云服务器的安全性。 0096 具体地， LDAP认证系统生成的动态验证信息可以是多因素认证MFA动态验证码。 0097 为了方便外网访问OpenVPN服务器， 在本发明一实施例中， 在所述接收当前工作人 员通过外网端口输入的访问请求之前， 进一步包括： 0098 确定所述OpenVPN服务器在所述局域网中的内网IP； 0099 将所述内网IP映射为至少一个公网IP， 以使外网端口通过所述至少一个公网IP中 的目标公网IP建立连接。 0100 在本发明实施例中， OpenVPN服务器在局域网中有一个内网IP， 通过将内网IP映射 为至少一。

45、个公网IP， 形成地址池， 外网即可通过唯一交互的外网端口， 从地址池中获取任意 的目标公网IP连接OpenVPN服务器， 以便于外网与OpenVPN服务器建立连接。 由于访问 OpenVPN服务器的外网IP为弹性的公网IP， 因此可以提高局域网内设备的安全性。 0101 如图2所示， 本发明实施例提供了云服务器的访问方法， 包括： 应用于LDAP认证系 统； 0102 步骤201： 接收OpenVPN服务器发来的当前工作人员的待验证身份信息， 其中， 所述 待验证身份信息为所述OpenVPN服务器通过唯一可访问外网的外网端口接收； 0103 步骤202： 根据所述待验证身份信息， 确定所述当。

46、前工作人员是否具有访问待访问 云服务器的权限； 0104 步骤203： 当确定所述当前工作人员具有访问待访问云服务器的权限时， 向所述 OpenVPN服务器发送访问授权信息， 以使所述跳板机访问所述OpenVPN服务器发送的目标标 识指示的所述待访问云服务器， 其中， 所述访问授权信息指示所述当前工作人员具有访问 至少一个云服务器中的待访问云服务器的权限， 所述LDAP认证系统、 所述OpenVPN服务器、 所述跳板机和所述至少一个云服务器位于同一局域网内。 0105 在本发明实施例中， 由于OpenVPN服务器、 LDAP认证系统、 跳板机和至少一个云服 务器均设置在同一局域网内， Open。

47、VPN服务器发来的当前工作人员的待验证身份信息是通 过唯一可与外网交互的外网端口接收的， 因此， 可使得公网用户仅通过外网端口与局域网 内的设备进行交互， 从而初步提高云服务器的安全性， 然后基于待验证身份信息确定当前 工作人员是否具有访问待访问云服务器的权限， 如果有权限， 通过向OpenVPN服务器发送指 示当前工作人员可访问待访问云服务器的访问授权信息， 跳板机即可对待访问云服务器进 行访问， 以便为当前工作人员提供远程管理需求， 还可以进一步提高云服务器的安全性。 0106 在本发明一实施例中， 所述根据所述待验证身份信息， 确定所述当前工作人员是 否具有访问待访问云服务器的权限， 当。

48、确定所述当前工作人员具有访问待访问云服务器的 权限时， 向所述OpenVPN服务器发送访问授权信息， 包括： 0107 确定预存的至少一个合法工作人员的身份信息中， 是否存在与所述待验证身份信 息相匹配的信息； 说明书 7/15 页 11 CN 111193737 A 11 0108 当确定存在与所述待验证身份信息相匹配的信息时， 向所述OpenVPN服务器发送 身份认证信息， 其中， 所述身份认证信息指示所述当前工作人员具有访问跳板机的权限； 0109 在接收到所述跳板机发送的二次认证请求时生成动态验证信息， 其中， 所述二次 认证请求为所述OpenVPN服务器根据所述身份认证信息发送给所述。

49、跳板机的信息； 0110 将所述动态验证信息通过所述跳板机发送给所述OpenVPN服务器， 以使OpenVPN服 务器通过外网端口将所述动态验证信息发送给所述当前工作人员的移动终端； 0111 在接收到所述跳板机发送的当前动态验证信息时， 确定所述当前动态验证信息是 否与所述动态验证信息相匹配， 其中， 所述当前动态验证信息为， 所述OpenVPN服务器发送 给所述跳板机的所述当前工作人员输入的信息； 0112 当所述当前动态验证信息与发送给所述移动终端的所述动态验证信息相匹配时， 通过所述跳板机向所述OpenVPN服务器发送访问授权信息 0113 在本发明实施例中， 当预存的合法工作人员的身。

50、份信息中如果存在与OpenVPN服 务器发送的身份认证信息相匹配的信息时， 则可初步判断当前用户身份合法， 具有访问跳 板机的权限。 通过向OpenVPN服务器发送指示当前工作人员具有访问跳板机权限的信息， 可 使OpenVPN服务器与跳板机建立连接， 当与跳板机建立连接时， 即接收到跳板机发送的二次 认证请求时， 可生成基于当前工作人员的访问请求生成动态验证信息， 例如， MFA动态验证 码， 然后通过跳板机和OpenVPN服务器发送给当前工作人员的移动终端， 以供当前工作人员 查看。 这样在接收到来自当前工作人员的当前动态验证信息后， 基于生成的动态验证信息 和来自当前工作人员的当前动态验。