一种sslvpn客户端安全检查方法、系统及其装置的制作方法

专利名称：一种ssl vpn客户端安全检查方法、系统及其装置的制作方法
技术领域：
本发明涉及移动通信技术领域，特别是涉及一种SSL VPN客户端安全检查方法、系统及其装置。
背景技术：
SSL(Security Socket Layer，安全套接字层)通过加密方式保护在互联网上传输的数据安全性，它可以自动应用在每一个浏览器上。VPN(Virtua1Private Network，虚拟专用网络)则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。过去，VPN总是和IPSec(Internet Protocol Security，因特网协议安全)联系在一起，因为它是VPN加密信息实际用到的协议。IPSec运行于网络层，IPSec VPN则多用于连接两个网络或点到点之间的连接。到目前为止，SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机，工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。
SSL VPN目前实现了对客户端的安全评估，当用户通过SSL VPN远程接入访问内部相应的网络资源时，不安全客户端接入将有可能造成核心机密的泄漏和网络病毒的传播，对内网的网络安全和信息安全造成很大威胁。为解决这个问题，现有的SSL VPN产品在普通用户登录时可以通过插件对客户端操作系统版本，注册表键值、客户端安全软件的部署等情况进行检查，对客户端的安全性进行评估并确认其能够访问哪些资源。
其中，该SSL VPN产品具体可以提供检查的可选项目有操作系统的类型、版本以及安装的补丁；
浏览器的类型、版本以及安装的补丁；防病毒软件的安装；防火墙软件的安装；是否持有由指定颁发者颁发的数字证书；是否有指定的文件；是否有指定的进程。
以上各项可以任选一项或多项，在选择后只有选择的各项都符合条件的用户才被允许登录。用户在登录过程中，调用ActiveX插件进行安全检查；通过一定级别的安全策略检查后，受到该安全策略保护的资源与用户所拥有访问权限的资源的交集对用户来说就是可见的，否则用户无权登录和访问相关资源。
在实现本发明过程中，发明人发现现有技术中至少存在如下缺点缺点一现有技术中的SSL VPN产品所能执行的检查功能有限，无法实现与防病毒软件和防火墙软件的强联动，无法实现病毒库自动升级和对病毒感染情况的实时监控。缺点二检查操作系统补丁之后，如果补丁没有打全无法接入内网服务器，无法实现补丁自动升级。缺点三资源的重复分配，在用户所属的用户组中资源已经被配置；如果要实施安全策略则还需要再配置资源与策略的对应关系，在登录时再使用两种资源的交集，配置不便。缺点四目前的ActiveX插件只在用户登陆的过程中进行一些静态检查，没有监控到用户上线之后客户端安全信息的变化，不能做到定时检查实时监控，存在一定的安全隐患。

发明内容
本发明实施例供一种SSL VPN客户端安全检查方法、系统及其装置，解决现有技术中SSL VPN产品所能执行的检查功能有限，资源重复分配和在用户上线后无法实施监控的问题。
为达到上述目的，本发明实施例一方面提出一种SSL VPN客户端安全检查方法，包括以下步骤接入设备向认证服务器转发客户端的身份认证请求；在所述认证服务器确认所述客户端通过身份认证之后，所述接入设备将从策略服务器中接收的安全检查项下发给所述客户端，并通知所述客户端根据所述安全检查项进行安全检查；判断所述客户端是否通过所述安全检查；如果所述客户端未通过所述安全检查，则所述接入设备针对所述客户端引用隔离访问控制表ACL。
其中，在判断所述客户端是否通过所述安全检查之后，还包括以下步骤如果所述客户端通过所述安全检查，则所述接入设备针对所述客户端引用安全ACL。
其中，所述认证服务器具体为综合访问管理CAMS服务器，在所述CAMS服务器确认所述客户端通过身份认证之后，还包括以下步骤所述CAMS服务器将所述策略服务器地址信息发送给所述客户端；所述客户端根据接收的所述地址信息向所述策略服务器发起安全检查请求。
其中，在所述客户端根据接收的所述地址信息向所述策略服务器发起安全检查请求之后，还包括以下步骤所述策略服务器从所述CAMS服务器中获取安全策略；根据所述安全策略确定所述客户端的安全检查项，并下发给所述接入设备。
其中，在所述认证服务器确认所述客户端通过身份认证之后，还包括以下步骤所述认证服务器向所述客户端发送身份认证回应信息；所述客户端判断所述身份认证回应信息中是否有策略服务器的地址信息；如果没有所述策略服务器的地址信息，则向所述接入设备发起安全检查请求。
其中，在所述客户端向所述接入设备发起安全检查请求之后，还包括以下步骤所述接入设备代理所述客户端向策略服务器发起安全检查请求；所述策略服务器从所述接入设备中获取安全策略；根据所述安全策略确定所述安全检查项，并下发给所述接入设备。
其中，在所述接入设备针对所述客户端引用隔离ACL之后还包括以下步骤提示所述客户端进行安全升级或下线。
其中，在所述接入设备针对所述客户端引用安全ACL之后，还包括以下步骤在所述客户端在线过程中，定期要求所述客户端进行安全检查；如果所述客户端未通过所述定期的安全检查，则通知所述客户端进行安全升级或下线。
其中，在所述接入设备针对所述客户端引用隔离ACL之后，还包括以下步骤所述接入设备将所述隔离ACL转换成对应的隔离区IP资源。
其中，在所述判断客户端是否通过所述安全检查之前，还包括以下步骤所述客户端根据安全检查项目进行安全检查后将安全检查结果发给所述策略服务器；所述策略服务器根据接收到的所述安全检查结果判断所述客户端是否通过所述安全检查，并通知所述接入设备。
另一方面，本发明实施例还提供了一种接入设备，包括身份认证请求处理模块，安全检查项下发模块，安全检查判断模块和ACL控制模块，所述身份认证请求处理模块，用于向认证服务器转发客户端的身份认证请求；所述安全检查项下发模块，用于在所述认证服务器确认所述客户端通过身份认证之后，将从策略服务器中接收的安全检查项下发给所述客户端，通知所述客户端根据所述安全检查项进行安全检查；所述安全检查判断模块，用于判断所述客户端是否通过所述安全检查；所述ACL控制模块，用于在所述安全检查判断模块判断所述客户端未通过所述安全检查时，针对所述客户端引用隔离访问控制表ACL。
其中，所述ACL控制模块进一步还用于在所述安全检查判断模块判断所述客户端通过所述安全检查时，针对所述客户端引用安全ACL。
其中，还包括配置信息保存模块，用于保存策略服务器地址信息、安全策略和安全/隔离ACL号。
其中，还包括客户端代理模块，用于在收到所述客户端的安全检查请求后，代理所述客户端向所述策略服务器请求安全检查。
其中，还包括定期通知模块，用于在所述安全检查判断模块判断所述客户端通过安全检查后，定期通知所述客户端进行安全检查。
其中，还包括提示模块，用于在所述安全检查判断模块判断所述客户端未通过安全检查后，提示所述客户端进行安全升级或下线。
其中，所述ACL控制模块还包括ACL转换子模块，用于将所述隔离ACL转换成对应的隔离区IP资源。
再一方面，本发明实施例还提出一种SSL VPN客户端安全检查系统，包括客户端、接入设备、认证服务器和策略服务器，所述客户端，用于通过所述接入设备向所述认证服务器发起身份认证请求；所述认证服务器，用于验证所述客户端是否通过身份认证，并通知所述接入设备；所述接入设备，用于在所述认证服务器确认所述客户端通过身份认证之后，将从策略服务器中接收的安全检查项下发给所述客户端，通知所述客户端根据所述安全检查项进行安全检查，并在所述客户端未通过安全检查后针对所述客户端引用隔离访问控制表ACL；所述策略服务器，用于根据安全策略确定所述客户端的安全检查项，并将所述安全检查项下发给所述接入设备。
其中，还包括防病毒服务器和/或补丁服务器，用于在所述客户端未通过安全检查后，供所述客户端进行安全升级。
本发明实施例的技术方案具有以下优点，通过策略服务器对客户端进行安全状态检测，使得只有符合安全标准通过安全检查的客户端才能够被允许正常接入，未通过安全检查的客户端只能访问隔离区内的服务器资源，并通知未通过安全检查的客户端利用隔离区内的服务器资源进行安全升级。本发明实施例还可以在客户端通过安全检查接入网络后，继续对该客户端进行监控，一旦发现该客户端存在安全隐患立刻通知该客户端进行安全升级或下线。


图1为本发明实施例SSL VPN客户端安全检查系统结构图；图2为本发明实施例一的SSL VPN客户端安全检查方法流程图；图3为本发明实施例二的SSL VPN客户端安全检查方法流程图；图4为本发明实施例三的SSL VPN客户端安全检查方法流程图。
具体实施例方式
下面结合附图和实施例，对本发明的具体实施方式
作进一步详细描述如图1所示，为本发明实施例SSL VPN客户端安全检查系统结构图，该SSL VPN客户端安全检查系统包括客户端1、认证服务器2、接入设备3和策略服务器4，其中接入设备可以是SSL VPN网关。客户端1用于通过接入设备3向认证服务器2发起身份认证请求，客户端1通过浏览器(例如IE浏览器)向接入设备3发起登录请求，请求进行身份验证，并将用户名、密码等用户信息发给接入设备3，接入设备3将上述用户信息转发给认证服务器2进行身份认证；认证服务器2用于验证客户端1是否通过身份认证，并将是否通过身份认证的结果通知接入设备3；接入设备3用于在认证服务器2确认客户端1通过身份认证之后，将从策略服务器4中接收的安全检查项下发给客户端1，通知客户端1根据该安全检查项进行安全检查，并在客户端1未通过安全检查后针对该客户端1引用隔离ACL(access control list，访问控制表)，如果该客户端1通过安全检查，则针对该客户端1引用安全ACL。策略服务器4用于根据安全策略确定客户端1的安全检查项，并将安全检查项下发给接入设备3，在客户端1根据该安全检查项进行安全检查后，根据客户端1上报的安全检查结果确认该客户端1是否通过安全检查。
本发明实施例所述的SSL VPN客户端安全检查系统还包括防病毒服务器5和/或补丁服务器6，防病毒服务器5和/或补丁服务器6用于在策略服务器4判断客户端1未通过安全检查后，供该客户端1进行安全升级，例如进行软件补丁或最新病毒库的升级。
其中，接入设备3包括身份认证请求处理模块31，安全检查项下发模块32，安全检查判断模块33和ACL控制模块34，身份认证请求处理模块31用于向认证服务器2转发客户端1的身份认证请求；安全检查项下发模块32用于在认证服务器2确认客户端1通过身份认证之后，将从策略服务器2中接收的安全检查项下发给客户端1，通知客户端1根据该安全检查项进行安全检查；安全检查判断模块33用于判断客户端1是否通过安全检查；ACL控制模块34用于在安全检查判断模块33判断客户端1未通过安全检查时，针对客户端1引用隔离访问控制表ACL，或在安全检查判断模块33判断客户端1通过安全检查时，针对该客户端1引用安全访问控制表ACL。
其中，接入设备3还包括定期通知模块37，用于在安全检查判断模块33判断客户端1通过安全检查后，定期通知该客户端1进行安全检查。这样就能够随时检测客户端1的安全状态，在客户端1的安全信息发生变化不能通过安全检查时，及时提醒并允许客户端1进行安全升级或直接下线。
其中，接入设备3还包括提示模块38用于在安全检查判断模块33判断客户端1未通过安全检查时，提示客户端1进行安全升级或直接下线。
其中，ACL控制模块34还包括ACL转换子模块341，用于将隔离ACL转换成对应的隔离区IP资源，并提示客户端1可通过启动IP Proxy(IP代理)进入隔离区，此时该客户端1只能访问隔离区中的服务器资源，例如防病毒服务器5和/或补丁服务器6，以便客户端1进行病毒库升级或补丁升级。
本发明实施例所示的SSL VPN客户端安全检查系统既可用于在CAMS服务器(Comprehensive Access Management Server，综合访问管理服务器)进行身份认证，也可通过本地服务器、AD(Active Directory，活动目录)服务器、LDAP服务器(Lightweight Directory Access Protocol，轻量目录访问协议)或其它Radius(远程鉴别拨号用户服务)服务器进行身份认证。因为CAMS服务器能够配置安全策略、策略服务器地址以及隔离/安全ACL，因此CAMS服务器可以将策略服务器地址通过Radius报文传递给客户端1。其中CAMS服务器是一款Radius服务器，它能够在Radius报文的私有属性中增加了一项用来传递策略服务器地址的属性，因此可以将策略服务器地址通过Radius报文传递给客户端1。
本发明实施例提出了一种上述SSL VPN客户端安全检查系统采用CAMS服务器进行身份认证的模式，具体过程如下客户端1通过浏览器(IE)向接入设备3发起登陆请求，并将用户名、密码等用户信息发给接入设备3，该接入设备3将这些用户信息转发给CAMS服务器进行身份认证。其中，该接入设备3可以是SSL VPN网关。CAMS服务器根据上述用户信息判断该客户端1通过身份认证后，将策略服务器的地址信息，例如策略服务器的IP地址和端口通过接入设备3发送给客户端1。客户端1通过浏览器(IE)从接入设备3(SSL VPN网关)自动下载安全检查软件进行安全检查，例如ActiveX控件或Java Applet程序，然而如果该客户端1之前已经下载过相应的安全检查软件或之前在客户端1上已经预安装了该安全检查软件，则该客户端1就不需要从接入设备3中再次下载。即使通过浏览器下载该安全检查软件，因为该安全检查软件的大小不到1M，所以不会影响网络的性能。
客户端1通过该安全检查软件将安全检查请求发送给接入设备3，接入设备3开放一个特殊的端口接收该客户端1发送的安全检查请求，例如SSL VPN网关开放的一个没有被其他服务占用的端口用来专门和客户端进行通讯，这个端口不提供其它服务。并将该请求转发给策略服务器4，该接入设备3透传客户端1与策略服务器4之间的通讯，同样策略服务器4返回给客户端1的报文也要先发给接入设备3，再由接入设备3转发给客户端1，这样断开了未经过安全检查的客户端1与策略服务器4的联系，进一步保证了内网的安全。策略服务器4接收到接入设备3转发的安全检查请求后从CAMS服务器中取得安全策略，并根据该安全策略获取客户端1的安全检查项，通过接入设备3将该安全检查项下发给客户端1，并要求该客户端1根据该安全检查项进行安全检查。该客户端1按照安全检查项进行了安全检查后，将安全检查结果返回给策略服务器4，策略服务器4根据安全检查结果以预设的安全标准判断该客户端1是否通过了安全检查，其中，该预设的安全标准由企业用户针对自身的网络安全性标准制定客户端1的操作系统及主要应用软件补丁的最低标准，或防火墙与杀毒软件的最低版本，如果不能满足这些最低标准则说明该客户端1不能满足网络的安全性标准，需要进行安全升级，并且该安全标准可以在策略服务器上根据用户需要随时更新。
如果策略代理服务器4根据上报的安全检查结果判断该客户端1通过安全检查，则策略服务器4将检查结果通知CAMS服务器，CAMS服务器在得知该客户端1通过安全检查后，通知接入设备3并将安全ACL号下发给该接入设备3，接入设备3允许客户端1访问其拥有的资源，其中，因为接入设备此时已经对访问权限进行了限制，因此安全ACL可以使用许可IP。
同样如果策略服务器4判断该客户端1未通过安全检查，则CAMS服务器通知接入设备3并将隔离ACL号下发给该接入设备3，接入设备3对该客户端1引用该隔离ACL，该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器，例如防病毒服务器5、补丁服务器6等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源，提示客户端可通过启动IPProxy(IP代理)进入隔离区，此时客户端1启动IP Proxy不能访问正常的IP网络资源，只能访问隔离区的服务器资源。或者接入设备3提示客户端1进入隔离区进行安全升级或直接下线。在客户端1进行了安全升级之后，还可再对该客户端1进行安全检查，如果该客户端能够通过安全检查，则为该客户端1引用安全ACL，如果还未通过安全检查，则再次要求该客户端1进行安全升级或直接下线。IP Proxy根据隔离ACL的内容限制用户仅可以访问隔离ACL允许的服务器资源。
如果该客户端1通过上述安全检查，进入正常的在线连接，则还需要对该客户端1进行定期的安全检查，以随时了解该客户端1安全状态的变化，在该客户端1不能满足安全标准要求，不能通过安全检查后则对该客户端1进行隔离限制，提示其进行安全升级或直接下线。
本发明实施例还提出了一种通过本地服务器、AD服务器、LDAP服务器或其它Radius服务器进行身份认证的模式。因为安全策略、策略代理服务器地址和安全/隔离ACL号均由CAMS服务器下发，因此在该模式没有CAMS服务器的情况下，就需要接入设备3完成上述工作，所以接入设备3还需要配置以下模块。
其中，接入设备3还包括配置信息保存模块35，用于保存策略服务器地址信息、安全策略和安全/隔离ACL号，以及需要给策略服务器提供的在线用户列表。
其中，接入设备3还包括客户端代理模块36，用于在收到客户端1的安全检查请求后，代理客户端1向策略服务器4请求安全检查。因为客户端1没有策略服务器4的地址信息，因此需要由接入设备3代理客户端1向策略服务器4请求安全检查。
该模式的具体过程如下
客户端1通过浏览器(IE)向接入设备发起登陆请求，并将用户名、密码等用户信息发给接入设备3，该接入设备3将这些用户信息转发给认证服务器2进行身份认证，其中，该接入设备可以是SSL VPN网关。认证服务器2根据上述用户信息判断该客户端1通过身份认证后，向客户端1回复通过认证的认证回应信息。客户端1通过浏览器(IE)从接入设备(SSLVPN网关)自动下载安全检查软件进行安全检查，例如ActiveX控件或JavaApplet程序，然而如果该客户端1之前已经下载过相应的安全检查软件或在客户端1上已经预安装了该安全检查软件，则该客户端1就不需要从接入设备3中再次下载。即使通过浏览器(IE)下载该安全检查软件，因为该安全检查软件的大小不到1M，所以因此不会影响网络的性能。
客户端1在发现在该认证回应信息中没有策略服务器4的地址信息和端口后，向接入设备3发起安全检查请求，接入设备3代理客户端1向策略服务器4请求安全检查。策略服务器4收到安全检查请求后从接入设备3中取得安全策略，并根据该安全策略确定安全检查项后将该安全检查项通过接入设备3下发给客户端1，并要求该客户端1根据该安全检查项进行安全检查。该客户端1按照安全检查项进行安全检查后，将安全检查结果返回给策略服务器4，策略服务器4根据安全检查结果以预设的安全标准判断该客户端1是否通过了安全检查。
如果策略代理服务器4根据上报的安全检查结果判断该客户端1通过安全检查，则策略服务器4将检查结果通知接入设备3，则接入设备3对该客户端1引用安全ACL，因为接入设备3此时已经对访问权限进行了限制，因此安全ACL可以使用许可IP。
同样，如果该客户端1的安全检查未通过，策略服务器4将会通知接入设备3引用隔离ACL，该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器，例如防病毒服务器5、补丁服务器6等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源，提示客户端可通过启动IP Proxy(IP代理)进入隔离区，此时客户端1启动IP Proxy不能访问正常的IP网络资源，只能访问隔离区的服务器资源，或者接入设备3提示客户端1进入隔离区进行安全升级或直接下线。
同样该模式下也可对在线的客户端1进行实时的安全监控，如果该客户端1通过上述安全检查，进入正常的在线连接，则还需要对该客户端1进行定期的安全检查，以随时了解该客户端1安全状态的变化，在该客户端1不能满足安全标准要求，不能通过安全检查后则对该客户端1进行隔离限制，提示其进行安全升级或直接下线。
如图2所示，本发明实施例一的SSL VPN客户端安全检查方法流程图，包括以下步骤步骤S201，接入设备向认证服务器转发客户端的身份认证清求。客户端通过浏览器(IE)向接入设备发起登陆请求，并将用户名、密码等用户信息发给接入设备，该接入设备将这些用户信息转发给认证服务器进行身份认证，其中，该接入设备可以是SSL VPN网关。
步骤S202，在认证服务器确认客户端通过身份认证之后，接入设备将从策略服务器中接收的安全检查项下发给客户端，通知客户端根据安全检查项进行安全检查。本发明实施例提出了两种根据不同认证服务器进行安全检查的模式，既可用于在CAMS服务器进行身份认证，也可通过本地服务器、AD服务器、LDAP服务器或其它Radius服务器进行身份认证。在认证服务器确认该客户端通过身份认证之后，由策略服务器根据预设的安全标准进行安全检查，将安全检查项通过接入设备下发给客户端，并要求该客户端根据安全检查项进行安全检查。
步骤S203，接入设备判断客户端是否通过安全检查。策略服务器根据客户端上报的安全检查结果判断该客户端是否通过安全检查，并将检查结果通知接入设备，接入设备根据策略服务器通知的检查结果，并根据判断结果选择该客户端是正常访问网络还是进入隔离区只能访问隔离区内的服务器。
步骤S204，如果客户端未通过安全检查，则接入设备针对客户端引用隔离访问控制表ACL。该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器，例如防病毒服务器、补丁服务器等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源，提示客户端可通过启动IP Proxy(IP代理)进入隔离区，此时客户端启动IP Proxy不能访问正常的IP网络资源，只能访问隔离区的服务器资源。或者接入设备提示客户端进入隔离区进行安全升级或直接下线。在客户端进行了安全升级之后，接入设备还可再对该客户端进行安全检查，如果该客户端能够通过安全检查，则为该客户端引用安全ACL，如果还未通过安全检查，则再次要求该客户端进行安全升级或直接下线。
步骤S205，如果客户端通过安全检查，则接入设备针对客户端引用安全ACL。接入设备允许客户端访问其拥有的资源，其中，因为接入设备此时已经对访问权限进行了限制，因此安全ACL可以使用许可IP。
步骤S206，在通过安全检查的客户端在线过程中，接入设备定期要求客户端进行安全检查，如果客户端未通过定期的安全检查，则通知该客户端进行安全升级或下线。这样就能够随时了解该客户端安全状态的变化，在该客户端不能满足安全标准要求，不能通过安全检查后，对该客户端进行隔离限制，提示其进行安全升级或直接下线。
如图3所示，为本发明实施例二的SSL VPN客户端安全检查方法流程图，该实施例采用CAMS服务器进行身份认证的模式，包括以下步骤步骤S301，接入设备向CAMS服务器转发客户端的身份认证请求。客户端通过浏览器(IE)向接入设备发起登陆请求，并将用户名、密码等用户信息发给接入设备，该接入设备将这些用户信息转发给CAMS服务器进行身份认证，其中，该接入设备可以是SSL VPN网关。
步骤S302，在CAMS服务器根据上述用户信息判断该客户端通过身份认证后，则将策略服务器的地址信息发送给客户端，例如将策略服务器的IP地址和端口通过接入设备发送给客户端。
步骤S303，客户端通过浏览器(IE)从接入设备(SSL VPN网关)自动下载安全检查软件进行安全检查，例如ActiveX控件或Java Applet程序，然而如果该客户端之前已经下载过相应的安全检查软件或在客户端上已经预安装了该安全检查软件，则该客户端就不需要从接入设备中再次下载。本发明实施例提出的安全检查软件即使通过浏览器下载，由于因为该安全检查软件的大小不到1M，因此不会影响网络的性能。
步骤S304，客户端通过该安全检查软件将安全检查请求发送给接入设备，因为客户端有策略服务器的地址信息，因此接入设备只需透传客户端与策略服务器的通信即可，即接入设备开放一个特殊的端口接收该客户端发送的安全检查请求，并将该请求转发给策略服务器，该接入设备透传客户端与策略服务器之间的通讯，同样，策略服务器返回给客户端的报文也要先发给接入设备，再由接入设备转发给客户端，这样断开了未经过安全检查的客户端与策略服务器的联系，进一步保证了内网的安全。
步骤S305，策略服务器收到接入设备转发的安全检查请求后从CAMS服务器中取得安全策略，并根据该安全策略获取客户端的安全检查项，通过接入设备将该安全检查项下发给客户端，并要求该客户端根据该安全检查项进行安全检查。
步骤S306，该客户端按照安全检查项进行安全检查后，将安全检查结果返回给策略服务器，策略服务器根据安全检查结果以预设的安全标准判断该客户端是否通过了安全检查，其中，该预设的安全标准由企业用户针对自身的网络安全性标准制定客户端的操作系统及主要应用软件补丁的最低标准，或防火墙与杀毒软件的最低版本，如果不能满足这些最低标准则说明该客户端不能满足网络的安全性标准，需要进行安全升级，并且该安全标准可以在策略服务器上根据用户需要随时更新。
步骤S307，如果客户端未通过安全检查，则接入设备针对客户端引用隔离访问控制表ACL。该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器，例如防病毒服务器、补丁服务器等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源，提示客户端可通过启动IP Proxy(IP代理)进入隔离区，此时客户端启动IP Proxy不能访问正常的IP网络资源，只能访问隔离区的服务器资源，或者接入设备提示客户端进入隔离区进行安全升级或直接下线。在客户端进行了安全升级之后，接入设备还可再对该客户端进行安全检查，如果该客户端能够通过安全检查，则为该客户端引用安全ACL，如果还未通过安全检查，则再次要求该客户端进行安全升级或直接下线。
步骤S308，如果客户端通过安全检查，则接入设备针对客户端引用安全访问控制表ACL。接入设备允许客户端访问其拥有的资源，其中，因为接入设备此时已经对访问权限进行了限制，因此该安全ACL可以使用许可IP。
步骤S309，在通过安全检查的客户端在线过程中，接入设备定期要求客户端进行安全检查，如果客户端未通过定期的安全检查，则通知该客户端进行安全升级或下线。这样就能够以随时了解该客户端安全状态的变化，在该客户端不能满足安全标准要求，不能通过安全检查后，对该客户端进行隔离限制，提示其进行安全升级或直接下线。
如图4所示，为本发明实施例三的SSL VPN客户端安全检查方法流程图，该实施例采用本地服务器、AD服务器、LDAP服务器或其它Radius服务器进行身份认证的模式，因为安全策略、策略代理服务器地址和安全/隔离ACL号均由CAMS服务器下发，因此该模式在没有CAMS服务器的情况下，就需要接入设备完成上述工作，该实施例具体包括以下步骤步骤S401，接入设备向认证服务器转发客户端的身份认证请求。客户端通过浏览器(IE)向接入设备发起登陆请求，并将用户名、密码等用户信息发给接入设备，该接入设备将这些用户信息转发给认证服务器进行身份认证，其中，该接入设备可以是SSL VPN网关。
步骤S402，认证服务器根据上述用户信息判断该客户端通过身份认证后，向客户端回复通过认证的认证回应信息。
步骤S403，客户端通过浏览器从接入设备(SSL VPN网关)自动下载安全检查软件进行安全检查，例如ActiveX控件或Java Applet程序，然而如果该客户端之前已经下载过相应的安全检查软件或在客户端上已经预安装了该安全检查软件，则该客户端就不需要从接入设备中再次下载。本发明实施例提出的安全检查软件即使通过浏览器下载，由于该安全检查软件的大小不到1M，因此不会影响网络的性能。
步骤S404，客户端检测步骤S402中认证服务器回复的认证回应信息是否有策略服务器的地址信息。客户端在发现该认证回应信息中没有策略服务器的地址信息和端口后，则向接入设备发起安全检查请求，接入设备代理客户端向策略服务器请求安全检查。
步骤S405，策略服务器收到安全检查请求后从接入设备中取得安全策略，并根据该安全策略确定安全检查项后将该安全检查项通过接入设备下发给客户端，并要求该客户端根据该安全检查项进行安全检查。该客户端按照安全检查项进行了安全检查后，将安全检查结果返回给策略服务器，策略服务器根据安全检查结果以预设的安全标准判断该客户端是否通过了安全检查。
步骤S406，策略代理服务器根据上报的安全检查结果判断该客户端是否通过安全检查，并将检查结果通知接入设备。
步骤S407，如果该客户端的安全检查未通过，则接入设备对该客户端引用隔离访问控制表ACL，该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器，例如防病毒服务器、补丁服务器等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源，提示客户端可通过启动Ip Proxy(IP代理)进入隔离区，此时客户端启动IP Proxy不能访问正常的IP网络资源，只能访问隔离区的服务器资源，或者接入设备提示客户端进入隔离区进行安全升级或直接下线。
步骤S408，如果客户端通过安全检查，则接入设备针对客户端引用安全访问控制表ACL。接入设备允许客户端访问其拥有的资源，其中，因为接入设备此时已经对访问权限进行了限制，因此该安全ACL可以使用许可IP。
步骤S409，在通过安全检查的客户端在线过程中，接入设备定期要求客户端进行安全检查，如果客户端未通过定期的安全检查，则通知该客户端进行安全升级或下线。这样就能够随时了解该客户端安全状态的变化，在该客户端不能满足安全标准的要求，不能通过安全检查后，对该客户端进行隔离限制，提示其进行安全升级或直接下线。
本发明实施例的技术方案具有以下优点，通过策略服务器对客户端进行安全状态检测，使得只有符合安全标准通过安全检查的客户端才能够被允许正常接入，未通过安全检查的客户端只能访问隔离区内的服务器资源，并通知未通过安全检查的客户端利用隔离区内的服务器资源进行安全升级。本发明实施例还可以在客户端通过了安全检查接入网络后，继续对该客户端进行监控，一旦发现该客户端存在安全隐患立刻通知该客户端进行安全升级或下线。
以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。
权利要求
1.一种SSL VPN客户端安全检查方法，其特征在于，包括以下步骤接入设备向认证服务器转发客户端的身份认证请求；在所述认证服务器确认所述客户端通过身份认证之后，所述接入设备将从策略服务器中接收的安全检查项下发给所述客户端，并通知所述客户端根据所述安全检查项进行安全检查；判断所述客户端是否通过所述安全检查；如果所述客户端未通过所述安全检查，则所述接入设备针对所述客户端引用隔离访问控制表ACL。
2.如权利要求1所述SSL VPN客户端安全检查方法，其特征在于，在判断所述客户端是否通过所述安全检查之后，还包括以下步骤如果所述客户端通过所述安全检查，则所述接入设备针对所述客户端引用安全ACL。
3.如权利要求1所述SSL VPN客户端安全检查方法，其特征在于，所述认证服务器具体为综合访问管理CAMS服务器，在所述CAMS服务器确认所述客户端通过身份认证之后，还包括以下步骤所述CAMS服务器将所述策略服务器地址信息发送给所述客户端；所述客户端根据接收的所述地址信息向所述策略服务器发起安全检查请求。
4.如权利要求3所述SSL VPN客户端安全检查方法，其特征在于，在所述客户端根据接收的所述地址信息向所述策略服务器发起安全检查请求之后，还包括以下步骤所述策略服务器从所述CAMS服务器中获取安全策略；根据所述安全策略确定所述客户端的安全检查项，并下发给所述接入设备。
5.如权利要求1所述SSL VPN客户端安全检查方法，其特征在于，在所述认证服务器确认所述客户端通过身份认证之后，还包括以下步骤所述认证服务器向所述客户端发送身份认证回应信息；所述客户端判断所述身份认证回应信息中是否有策略服务器的地址信息；如果没有所述策略服务器的地址信息，则向所述接入设备发起安全检查请求。
6.如权利要求5所述SSL VPN客户端安全检查方法，其特征在于，在所述客户端向所述接入设备发起安全检查请求之后，还包括以下步骤所述接入设备代理所述客户端向策略服务器发起安全检查请求；所述策略服务器从所述接入设备中获取安全策略；根据所述安全策略确定所述安全检查项，并下发给所述接入设备。
7.如权利要求1所述SSL VPN客户端安全检查方法，其特征在于，在所述接入设备针对所述客户端引用隔离ACL之后还包括以下步骤提示所述客户端进行安全升级或下线。
8.如权利要求2所述SSL VPN客户端安全检查方法，其特征在于，在所述接入设备针对所述客户端引用安全ACL之后，还包括以下步骤在所述客户端在线过程中，定期要求所述客户端进行安全检查；如果所述客户端未通过所述定期的安全检查，则通知所述客户端进行安全升级或下线。
9.如权利要求1所述SSL VPN客户端安全检查方法，其特征在于，在所述接入设备针对所述客户端引用隔离ACL之后，还包括以下步骤所述接入设备将所述隔离ACL转换成对应的隔离区IP资源。
10.如权利要求1所述SSL VPN客户端安全检查方法，其特征在于，在所述判断客户端是否通过所述安全检查之前，还包括以下步骤所述客户端根据安全检查项目进行安全检查后将安全检查结果发给所述策略服务器；所述策略服务器根据接收到的所述安全检查结果判断所述客户端是否通过所述安全检查，并通知所述接入设备。
11.一种接入设备，其特征在于，包括身份认证请求处理模块，安全检查项下发模块，安全检查判断模块和ACL控制模块，所述身份认证请求处理模块，用于向认证服务器转发客户端的身份认证请求；所述安全检查项下发模块，用于在所述认证服务器确认所述客户端通过身份认证之后，将从策略服务器中接收的安全检查项下发给所述客户端，通知所述客户端根据所述安全检查项进行安全检查；所述安全检查判断模块，用于判断所述客户端是否通过所述安全检查；所述ACL控制模块，用于在所述安全检查判断模块判断所述客户端未通过所述安全检查时，针对所述客户端引用隔离访问控制表ACL。
12.如权利要求11所述接入设备，其特征在于，所述ACL控制模块进一步还用于在所述安全检查判断模块判断所述客户端通过所述安全检查时，针对所述客户端引用安全ACL。
13.如权利要求11所述接入设备，其特征在于，还包括配置信息保存模块，用于保存策略服务器地址信息、安全策略和安全、隔离ACL号。
14.如权利要求13所述接入设备，其特征在于，还包括客户端代理模块，用于在收到所述客户端的安全检查请求后，代理所述客户端向所述策略服务器请求安全检查。
15.如权利要求12或14所述接入设备，其特征在于，还包括定期通知模块，用于在所述安全检查判断模块判断所述客户端通过安全检查后，定期通知所述客户端进行安全检查。
16.如权利要求15所述接入设备，其特征在于，还包括提示模块，用于在所述安全检查判断模块判断所述客户端未通过安全检查后，提示所述客户端进行安全升级或下线。
17.如权利要求11所述接入设备，其特征在于，所述ACL控制模块还包括ACL转换子模块，用于将所述隔离ACL转换成对应的隔离区IP资源。
18.一种SSL VPN客户端安全检查系统，其特征在于，包括客户端、接入设备、认证服务器和策略服务器，所述客户端，用于通过所述接入设备向所述认证服务器发起身份认证请求；所述认证服务器，用于验证所述客户端是否通过身份认证，并通知所述接入设备；所述接入设备，用于在所述认证服务器确认所述客户端通过身份认证之后，将从策略服务器中接收的安全检查项下发给所述客户端，通知所述客户端根据所述安全检查项进行安全检查，并在所述客户端未通过安全检查后针对所述客户端引用隔离访问控制表ACL；所述策略服务器，用于根据安全策略确定所述客户端的安全检查项，并将所述安全检查项下发给所述接入设备。
19.如权利要求18所述SSL VPN客户端安全检查系统，其特征在于，还包括防病毒服务器和/或补丁服务器，用于在所述客户端未通过安全检查后，供所述客户端进行安全升级。
全文摘要
本发明公开了一种SSL VPN客户端安全检查方法，包括以下步骤接入设备向认证服务器转发客户端的身份认证请求；在所述认证服务器确认所述客户端通过身份认证之后，所述接入设备将从策略服务器中接收的安全检查项下发给所述客户端，并通知所述客户端根据所述安全检查项进行安全检查；判断所述客户端是否通过所述安全检查；如果所述客户端未通过所述安全检查，则所述接入设备针对所述客户端引用隔离访问控制表ACL。本发明实施例实现了通过策略服务器对客户端进行安全状态检测，使得只有符合安全标准通过安全检查的客户端才能够被允许正常接入网络。
文档编号H04L12/46GK101072108SQ20071013024
公开日2007年11月14日 申请日期2007年7月17日 优先权日2007年7月17日
发明者李红霞, 李丹 申请人:杭州华三通信技术有限公司