中国专利CN214337937U 实现无公网ip下内外网络系统通信的安全远程网络系统

专利PDF首页>>中国专利

专利附录

专利说明

权利要求

类似技术

同族专利

引用文献

法律状态

优先权

专利摘要:
本实用新型公开了一种实现无公网IP下内外网络系统通信的安全远程网络系统，其包括作为远程操作终端的操作终端主机、被操作终端主机、与被操作终端主机连接的双主机系统以及P2P服务器；双主机系统包括单向数据传输的外部主机和内部主机，内部主机与被操作终端主机连接，外部主机通过NAT模块a经互联网与P2P服务器连接；操作终端主机通过NAT模块b经互联网与P2P服务器连接。本实用新型利用P2P通信机制，能够实现操作终端对被操作终端的远程控制，且被操作终端采用双主机系统，内部主机和外部主机之间通过单向数据传输，进而能够保证对被操作终端的系统安全。
公开号:CN214337937U
申请号:CN202120736083.6U
申请日:2021-04-12
公开日:2021-10-01
发明作者:刘小明
申请人:Chengdu Pupei Technology Co ltd；
IPC主号:H04L29-08

专利说明:
[n0001] 本实用新型属于网络安全技术领域，涉及内外网主机通信，尤其涉及一种实现无公网IP下内外网络系统通信的安全远程网络系统。
[n0002] 大多数单位实体，都有建立有自己的内部网络系统。从远程对这些内部网络系统内各主机和终端设备的安全操作和维护，是各个业主单位和服务商需要考虑的问题。目前，有两种主要方案解决这个问题：保垒机方案和安全通道双主机设备方案。(1)通过堡垒机，操作者可从接入互联网的任何终端经堡垒机访问内部网系统；但是，堡垒机还同时把内部网络和外网络连接起来了，没有满足完全的的网络隔离。(2)安全通道双主机方案是配置有安全通道双主机系统同时连接内部网络和外部网络，通过接入外网的外部主机操作内部主机，然后再访问内部网络系统的其它终端，以实现从外对内的安全操作和维护；然而，由于IP地址的稀缺性，这种安全通道双主机系统，只能通过经NAT转换后接入互联网络；由于没有自己的公网IP，远程同样无公网IP的操作终端，无法直接访问安全通道外部主机，限制了这种安全通道双主机系统只能在小范围使用。
[n0003] 因此，建立一种实现无公网IP的内外网络系统通信的安全访问系统，对解决单位内网的远程维护和操作难题，具有重要的意义。
[n0004] 本实用新型的目的旨在针对上述现有技术中存在的技术问题，提供一种实现无公网IP下内外网络系统通信的安全远程网络系统，能够实现在无公网IP情况下，远程操作终端对内部网络系统的安全远程控制。
[n0005] 为了达到上述目的，本实用新型提供的实现无公网IP下内外网络系统通信的安全远程网络系统，其包括作为远程操作终端的操作终端主机、被操作终端主机、与被操作终端主机连接的双主机系统以及P2P服务器；所述双主机系统包括单向数据传输的外部主机和内部主机，内部主机与被操作终端主机连接，外部主机通过NAT模块a经互联网与P2P服务器连接；所述操作终端主机通过NAT模块b经互联网与P2P服务器连接。所述P2P服务器基于操作终端主机及与之关联的双主机系统中外部主机的地址信息，按照P2P通信标准协议建立操作终端主机与外部主机之间的点对点通信通道。操作终端将键盘或/和鼠标信号经点对点通信通道发送给双主机系统的外部主机，外部主机将键盘或/和鼠标信号经内部主机发送给被操作终端主机，内部主机将来自被操作终端主机的桌面图像发送给外部主机，外部主机的桌面图像信息经点对点通信通道发送给操作终端主机。
[n0006] 上述安全远程网络系统中，内部主机通过内部路由器或交换机与被操作终端主机连接。当然，内部主机也可以通过传输线与被操作终端主机直接连接。
[n0007] 上述安全远程网络系统中，所述外部主机与内部主机分别通过用于传输键盘或/和鼠标信号的第一单片机和用于传输视频信号的第二单片机连接。第一单片机用于将外部主机接收的来自远程操作终端的键盘或/和鼠标信号发送给内部主机。第二单片机用于将内部主机接收的来自被操作终端主机的桌面图像信息发送给外部主机。
[n0008] 上述安全远程网络系统中，所述外部主机与内部主机之间也可以通过分别设置的通用键盘/鼠标接口连接，来传输键盘或/和鼠标信号。
[n0009] 上述安全远程网络系统中，所述内部主机和外部主机之间也可以通过分别设置的通用VGA接口、DVI接口、HDMI接口或YUA色差分量接口等来传输视频数据(例如桌面图像)。
[n0010] 上述安全远程网络系统中，所述NAT模块a和NAT模块b均为用于与之连接主机的地址转换，可以采用本领域具有地址转换功能的路由器、交换机等。
[n0011] 上述安全远程网络系统中，所述P2P服务器用于按照P2P通信标准协议(RFC3489或RFC5389)建立操作终端主机与双主机系统之间的点对点通信通道，P2P服务器可以采用安装有常规P2P云服务器(例如阿里云服务器、华为云服务器等)的主机。点对点通信通道采用的通信协议为UDP协议或TCP协议。
[n0012] 上述安全远程网络系统中，P2P服务器设置有存储模块，用于存储操作终端主机、双主机系统的地址信息以及两者关联关系，这些可以在系统使用前就存储到存储模块中，存储模块还可以进一步实时存储各操作终端主机和双主机系统的使用信息(例如操作终端主机在什么时候访问了双主机系统等)。存储模块可以采用本领域常规的存储芯片。
[n0013] 通过上述安全远程网络系统，基于P2P服务器上存储的操作终端主机地址信息与多个关联双主机系统的外部主机地址信息的关联关系，通过P2P服务器建立操作终端主机与多个外部主机的点对点通信通道，能够实现在无公网IP下，一个操作终端主机对多个被操作终端的远程控制。
[n0014] 本实用新型中的主机均指的是计算机。
[n0015] 本实用新型提供的实现无公网IP下内外网络系统通信的安全远程网络系统具有以下有益效果：
[n0016] (1)本实用新型通过设置的P2P服务器，利用P2P通信机制，能够实现操作终端对被操作终端的远程控制，且被操作终端与公网之间通过双主机系统连接，内部主机和外部主机之间通过单向数据传输，进而能够保证对被操作终端的系统安全。
[n0017] (2)本实用新型双主机系统，由内部主机和外部主机构成，内部主机和外部主机之间的键盘/鼠标信号、桌面图像信息通过两个独立的单片机进行信号传输，从而实现键盘/鼠标信号、桌面图像信息的单向传输；这样能够实现操作终端与被操作终端的网络隔离，且能够满足接入互联网环境的要求。
[n0018] (3)本实用新型利用P2P服务器，一个操作终端主机可以与多个被操作终端的双主机系统建立关联，能够保证多用户同时使用的通信需求，也方便用户使用。
[n0019] 图1为实现无公网IP下内外网络系统通信的安全远程网络系统的结构示意图。
[n0020] 图2为双主机系统一种实现方式的内部设置示意图。
[n0021] 结合附图对本实用新型各实施例的技术方案进行清楚、完整的描述，显然，所描述实施例仅仅是本实用新型的一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例，都属于本实用新型。
[n0022] 实施例1
[n0023] 本实施例提供的实现无公网IP下内外网络系统通信的安全远程网络系统，如图1所示，其包括操作终端主机、被操作终端主机、双主机系统以及P2P服务器。操作终端主机作为远程操作终端，其通过NAT模块b经互联网与P2P服务器连接。双主机系统和被操作终端主机位于与外部互联网隔离的内网中。双主机系统与被操作终端主机之间通过内网路由器或交换机连接。双主机系统通过NAT模块a经互联网与P2P服务器连接。
[n0024] 上述双主机系统包括单向数据传输的外部主机和内部主机，内部主机通过内部路由器或交换机与被操作终端主机连接。外部主机将键盘或/和鼠标信号发送给内部主机，内部主机将来自被操作终端主机的桌面图像发送给外部主机。
[n0025] 图2给出了双主机系统的一种实现方式。
[n0026] 如图2所示，外部主机与内部外部主机分别通过第一单片机和第二单片机连接。第一单片机的型号为CH545，第二单片机的型号为Cypress CYUSB3014。第一单片机两端分别与外部主机和内部主机的USB接口连接。第二单片机的输入端与内部主机的视频输出接口连接，输出端与外部主机的USB接口连接。
[n0027] 按照标准HID键盘鼠标协议，第一单片机将外部主机接收的来自操作终端主机的键盘或/和鼠标信号转换成键盘或/和鼠标硬件扫描码，并转换后的信号发送给内部主机。
[n0028] 内部主机的视频输入接口和视频输出接口均为HDMI接口。内部主机通过视频输入接口，接收来自被操作终端主机的桌面图像信息，并通过视频输出接口发送给第二单片机。第二单片机来自内部主机的桌面图像信息转换成并行数据，并将转换后的并行数据发送给外部主机。
[n0029] 上述NAT模块a和NAT模块b均为路由器，型号为ZXHN E1600。NAT模块a和NAT模块b分别将双主机系统的外部主机和操作终端主机系统的本地IP地址转换成适用于互联网的地址信号；NAT模块a或NAT模块b将操作终端主机及与之关联的双主机系统中外部主机转换后的地址信息发送给P2P服务器保存。
[n0030] 上述P2P服务器为安装有P2P云服务器的主机，主机内设置的存储模块中存储有作为远程操作终端主机及与之关联的双主机系统中外部主机的地址信息。P2P服务器基于操作终端主机及与之关联的双主机系统中外部主机的地址信息，可以按照P2P通信标准协议RFC3489建立操作终端主机与外部主机之间的点对点通信通道。点对点通信通道采用的通信协议为UDP协议。
[n0031] 上述实现无公网IP下内外网络系统通信的安全远程网络系统的工作原理为：
[n0032] 操作终端主机和被操作终端主机均安装有远程桌面工具(本实施例可以采用TeamViewer远程桌面工具)。操作终端主机和备操作终端主机启动后，两者均运行相应的远程桌面工具。操作终端主机利用NAT模块b通过互联网向P2P服务器发送包含操作终端主机地址信息的接入请求，P2P服务器依据操作终端主机地址信息，从存储模块中读取出与之关联的双主机系统中外部主机的地址信息。基于两者的地址信息，P2P服务器按照P2P通信标准协议RFC3489，为操作终端主机和双主机系统建立点对点直接通信通道。操作终端主机通过点对点通信通道与外部主机通信。操作终端主机将用于远程控制的键盘或/和鼠标信号利用点对点通信通道发送给外部主机，外部主机再按照前面给出的单向传输实现方式发送给内部主机，内部主机再将键盘或/和鼠标信号发送给被操作终端主机，由被操作终端主机依据接收到的键盘或/和鼠标信号执行操作，并将被操作终端主机的桌面图像发送给内部主机，内部主机按照前面给出的单向传输方式发送给外部主机。外部主机再利用点对点通信通道发送给操作终端主机。这样就可以实现远程操作系统对双主机系统的控制。
[n0033] 因此，通过P2P通信机制，依据互联网，双主机系统可以将来自被操作终端的桌面图像传向在任何与之建立关联的接入互联网的远程操作终端主机。远程操作终端主机在得到从其传入的安全通道设备内机的桌面图像信息的同时，也可以传回键盘或/和鼠标操作信号。
[n0034] 前面已经指出，P2P服务器的存储模块存储由每一台连接到互联网的操作终端主机和双主机系统中外部主机的地址信息，同样也可以记录每个主机的使用情况。当远程操作人员需要访问操作某个双主机系统时，可以将先向P2P服务器发送接入请求，存储模块可以提供有关操作终端主机与该双主机系统的关联关系，并依据关联关系建立两者的点对点通信通道。这样，远程操作者就可以很方便地找到对应的双主机系统。并且当存储模块存储了操作终端主机与多个双主机系统建立的关联关系时，还可以根据存储模块记录的双主机系统使用情况，判断是否有空闲的双主机系统可以与之建立点对点通信通道。
[n0035] 综上所述，本实用新型提供的实现无公网IP下内外网络系统通信的安全远程网络系统，结合适应NAT地址转换后互联网接入的P2P通信能力和双主机安全网络隔离机制，不仅保证了操作终端与被操作终端端的网络隔离，两者均不需要公网IP，可适应于各种互联网接入环境，形成了一种可以在任何互联网接点使用的安全远程系统。利用P2P通信机制保证了多用户同时使用时的通信性能，也更方便用户对系统的使用。
[n0036] 本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本实用新型的原理，应被理解为本实用新型的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本实用新型公开的这些技术启示做出各种不脱离本实用新型实质的其它各种具体变形和组合，这些变形和组合仍然在本实用新型的保护范围内。

权利要求:
Claims (7)
[0001] 1.一种实现无公网IP下内外网络系统通信的安全远程网络系统，其特征在于，包括作为远程操作终端的操作终端主机、被操作终端主机、与被操作终端主机连接的双主机系统以及P2P服务器；所述双主机系统包括单向数据传输的外部主机和内部主机，内部主机与被操作终端主机连接，外部主机通过NAT模块a经互联网与P2P服务器连接；所述操作终端主机通过NAT模块b经互联网与P2P服务器连接。
[0002] 2.根据权利要求1所述实现无公网IP下内外网络系统通信的安全远程网络系统，其特征在于，所述外部主机与内部主机分别通过用于传输键盘或/和鼠标信号的第一单片机和用于传输视频信号的第二单片机连接。
[0003] 3.根据权利要求1所述实现无公网IP下内外网络系统通信的安全远程网络系统，其特征在于所述外部主机与内部主机之间通过分别设置的通用键盘/鼠标接口连接。
[0004] 4.根据权利要求1或3所述实现无公网IP下内外网络系统通信的安全远程网络系统，其特征在于，所述内部主机和外部主机之间通过分别设置的通用VGA接口、DVI接口、HDMI接口或YUA色差分量接口。
[0005] 5.根据权利要求1所述实现无公网IP下内外网络系统通信的安全远程网络系统，其特征在于，所述NAT模块a和NAT模块b均为路由器或交换机。
[0006] 6.根据权利要求1所述实现无公网IP下内外网络系统通信的安全远程网络系统，其特征在于，所述P2P服务器采用安装有P2P云服务器的主机。
[0007] 7.根据权利要求1、5或6所述实现无公网IP下内外网络系统通信的安全远程网络系统，其特征在于，所述P2P服务器设置有存储模块。

类似技术:

公开号 | 公开日 | 专利标题

EP1575237B1|2007-01-10|Method of multicast data packet transmission

CN101060493B|2011-10-26|一种私网内用户通过域名访问私网内服务器的方法

KR20050050954A|2005-06-01|사설네트워크 상에 존재하는 네트워크 장치를 제어하는장치 및 그 방법

US8700820B2|2014-04-15|Method for accessing USB device attached to home gateway, home gateway and terminal

WO2003088580A1|2003-10-23|Iscsi-fcp gateway

US20050286555A1|2005-12-29|Data transfer system, communication protocol conversion cradle, address conversion method used therefor, and program thereof

KR20030059959A|2003-07-12|시큐러티 프로토콜의 기능을 수행하는 홈 게이트웨이 및그 방법

CN102420774B|2014-04-30|使用igmp实现内网穿透的方法和内网穿透系统

CN214337937U|2021-10-01|实现无公网ip下内外网络系统通信的安全远程网络系统

US9417720B2|2016-08-16|Fast virtual media KVM system

US20030018814A1|2003-01-23|Method of letting a single LAN port voice over IP device have network address translation function

JP2000236348A|2000-08-29|インターネットプロトコルを用いた遠隔機器の管理システム

US20090172144A1|2009-07-02|Id collection and management apparatus, method and program of computer

JP6052876B2|2016-12-27|中継装置、その制御方法、及びその制御プログラム

CN111930658A|2020-11-13|一种可实现多对多切换控制的usb切换装置及方法

US8218566B2|2012-07-10|Systems and methods for making serial ports of existing computers available over a network

CN108111575B|2020-12-01|一种可扩展的客户机与虚拟机数据交互系统

KR100546023B1|2006-01-25|네트워크 장치 간의 통신 방법

KR20030060598A|2003-07-16|상이한 프로토콜로 동작하는 네트워크의 관리방법 및 장치

US8073957B2|2011-12-06|Communication control system

KR20040088688A|2004-10-20|통합형 댁내 통신망 분배 장치

KR20030026740A|2003-04-03|매체 접근 제어를 이용한 망 주소 변환 처리방법

KR20010040075A|2001-05-15|네트워크 주소 변환 기능을 이용한 주소 절약형 인터넷접속방법 및 장치

KR102109174B1|2020-05-12|브릿지 및 네트워크의 관리 방법

KR20040055447A|2004-06-26|유피엔피| 네트워크 상의 컨트롤 포인트 기능분산 시스템

同族专利:

公开号 | 公开日

引用文献:

公开号 | 申请日 | 公开日 | 申请人 | 专利标题

法律状态:
2021-10-01| GR01| Patent grant|

2021-10-01| GR01| Patent grant|

优先权:

申请号 | 申请日 | 专利标题

CN202120736083.6U|CN214337937U|2021-04-12|2021-04-12|实现无公网ip下内外网络系统通信的安全远程网络系统|CN202120736083.6U| CN214337937U|2021-04-12|2021-04-12|实现无公网ip下内外网络系统通信的安全远程网络系统|

[返回顶部]