专利名称:代理模式安全远程接入技术的制作方法
技术领域:
本发明涉及网络安全技术领域,具体的说是一种实现小规模环境下的多个主机通过代理安全出口共享与数据中心间的安全保密通道的代理模式安全远程接入技术。
背景技术:
通过代理实现Internet及Intranet访问共享是一种广泛应用的较成熟的技术。但是在广泛及方便地应用同时,也存在着严重的安全问题。
采用代理主机共享外部信息访问这种模式在大多中小型企业、公司以及党政系统用户中广泛使用,但由于这些用户的主机上或多或少涉及一些重要敏感信息,虽然也通过了防火墙等措施实施了一定程度的安全保护,但是公网上的恶意用户往往手段是高明的,因此代理共享系统中的安全问题十分重要。而目前代理共享系统在信息本身的安全保护方面还是空白。另外,现有通过代理主机共享访问的方式在用户管理方面未有专门的认证授权措施,通常仅采用MAC地址捆绑方式来进行用户认证,此时恶意用户可以采用数据监听、数据帧重放以及IP仿冒等措施来实现非法共享。
发明内容
本发明旨在解决采用代理主机共享外部信息访问这种模式所存在的安全隐患,通过在代理共享主机上无缝嵌入安全保密服务,并通过专用数据加密机实现数据加密,再结合抗重放措施及MAC地址绑定、用户授权等机制,在不影响用户已有网络配置的情况下实现安全共享。
本发明为解决上述技术问题,所采用的技术方案如下一种代理模式安全远程接入技术,其特征在于在代理主机内的系统核心处理模块上无缝嵌入安全保密服务模块,并安装代理安全远程接入程序、用户管理、升级授权程序,通过数据加密机实现数据加密,结合抗重放措施及MAC地址绑定、用户授权机制,在不影响用户已有网络配置的情况下实现安全共享;工作流程如下代理安全远程接入程序完成用户鉴别、与中心密钥协商,向核心设置密钥;用户管理、升级授权程序完成用户量授权增加,MAC绑定;系统核心处理模块,负责IP数据包过滤、调用加密卡进行加密、解密。负责代理共享安全出口处理。
本发明安全保密服务模块对系统网络适配器的所有接收与发送的数据包进行过滤处理,它对配置了INTERNET共享的网络适配器进行检测并作出绑定,一旦收到的IP数据包来自实施了INTERNET共享的主机,则根据规则作出明通、阻断或解密的处理;否则就是代理主机所提供服务的内网来的数据包,简单地放开处理即可。对于发送也同样,只要是绑定到外网的适配器要发出的IP数据包,都根据规则作出明通、阻断或加密的处理。否则,简单转发即可。
本发明核心处理模块所依据的规则以及加密和解密处理所用到的密钥,是通过代理安全远程接入程序与远程的受加密机保护的网络中心中的密钥管理中心KDMC协商完成,在该程序运行并进行密钥协商之前,系统核心处理模块没有规则以及密钥可用,故对外网通信处于阻断状态,当代理安全远程程序通过三次握手、申请用户规则、申请通信密钥后,将得到的代理主机应该遵循的与外网通信的规则,包含代理主机与加密机保护的用户网络中心密通的规则、密钥,将规则与密钥设置到系统核心处理模块中,由此,系统核心处理模块就可以对代理主机同外网的通信进行对应的加密、解密、明通、阻断处理,实现与加密机保护的网络中心之间安全通道的建立。
本发明系统核心处理模块在接收到网络送来的IP包后,即根据IP地址过滤以及外网卡安全绑定来判别进行数据解密处理,或直接放行处理,对于外网进入的数据,判别进行调用数据密码卡进行解密处理,或是直接放行处理,或拒绝处理;对于系统要求送出的IP包,核心处理模块根据IP地址以及绑定信息完成过滤,送到外网的信息依据规则可以调用数据密码卡完成加密,或直接放行,或拒绝放行。
本发明代理安全接入程序通过基于IC卡及数据密码机的硬件设备,完成系统算法加载、用户身份验证并通过与位于网络中心的密钥分发管理中心KDMC实现与中心密码机的相关参数协商,建立并管理安全连接通道。
本发明用户管理、升级授权程序通过MAC地址绑定与IC卡身份验证相结合的方式完成代理共享主机的验证,通过用户数量升级请求与授权机制,实现用户容许共享数量的增加,完成对共享主机的扩展与管理。
本发明代理安全接入程序的工作流程如下连接密钥分发管理中KDMC;三次握手;漫游设置kdmc_ip判别;卡机绑定;获取本机IP;发送申请DEK请求;读取密钥分发管理中心KDMC回应;读取密钥;是否更新KEK;存储并设置密钥。
本发明用户管理、升级授权程序工作流程如下显示当前容许用户数;是否申请增加用户授权?;同管理中心联系,发出请求码、请求用户数量的密文;管理中心以三次握手方式同远程升级授权程序建立连接;管理中心通过容许用户增加授权的决定?;管理中心向远程升级授权程序发出容许回应,并密文给出用户数量;升级授权程序解出密文,并将用户数写入PSJ311-A型数据密码卡中。
本发明系统核心处理模块工作流程如下系统加载核心处理模块,为收发网络数据处理分配缓冲;初始化核心模式线程、同步事件、信号量等,完成核心驱动程序注册;代理远程接入程序是否运行;同代理远程接入程序交互,完成与加解密有关的设置;收到IP数据,判别该IP数据是否需要解密,如需要解密,进行解密处理,否则直接提交给系统上层?;发送IP数据,判别该IP数据是否需要加密,如需要加密,进行加密处理,否则直接送给网络适配器。
本发明代理主机使用局域网或调制解调器与通信中心建立安全通信通道,若使用局域网与通信中心建立安全通信通道,终端带有两张以太网卡,其中一张网卡与客户终端处于同一子网内,另一张网卡与接入Internet的路由器处于同一子网内。
本发明有益效果表现在本发明实现多台主机共享安全出口;采用无缝内核嵌入技术,在网络层实现安全处理,充分满足用户各种应的安全需求;能够由用户业务自动触发与系统密钥管理中心、中心密码机协商建立安全连接;可以对各个用户主机进行身份鉴别;实现安全用户共享数量的授权管理;所有主机对外只显示代理主机的IP地址,实现各个主机的IP地址保护。
本发明通过在代理共享主机上无缝嵌入安全保密服务,并通过专用数据加密机实现数据加密,再结合抗重放措施及MAC地址绑定、用户授权等机制,在不影响用户已有网络配置的情况下实现了安全共享。使用本发明的成果能够为用户在代理共享的应用上提供安全保护措施,可以适用于中小企业、公司以及党政系统小规模网络共享安全出口访问数据中心的应用场合。
图1为本发明系统核心处理模块构造示意框2为本发明工作流程框3为本发明代理安全远程接入程序流程框4为本发明用户管理、升级授权程序流程框5为本发明系统核心处理模块工作流程框图具体实施方式
本发明在现有的WIN2000/XP共享代理出口的基础上,增加了无缝嵌入操作系统内核的数据加解密处理模块,并共享代理用户的授权管理机制,实现共享安全数据通道,其创新点在于引入了一种新的实现IP层安全的处理模式。
如图1所示,系统核心处理模块在接收到网络送来的IP包后,即根据IP地址过滤以及外网卡安全绑定来判别进行何种处理,是进行数据解密处理,还是直接放行处理。对于外网进入的数据,是调用数据密码卡进行解密处理,还是直接放行,也可以是拒绝处理。
同样,对于系统要求送出的IP包,核心处理模块根据IP地址以及绑定信息完成过滤,送到外网的信息依据规则可以调用数据密码卡完成加密,也可以直接放行,也可以拒绝放行。
所述代理安全接入程序通过基于IC卡及数据密码机的硬件设备,完成系统算法加载、用户身份验证并通过与位于网络中心的密钥分发管理中心(KDMC)实现与中心密码机的相关参数协商,建立并管理安全连接通道。
所述用户管理、升级授权程序通过MAC地址绑定与IC卡身份验证相结合的方式完成代理共享主机的验证,通过用户数量升级请求与授权机制,完成对共享主机的扩展与管理。
该系统运行需要以下软硬件一块PSJ311-A型PCI数据密码卡,一台数据密码卡读卡器,一根连接数据密码卡与密码卡读卡器的RJ-45-DB9的电缆,一张系统IC卡,一张用户IC卡,一张含有安装与使用说明、安全远程接入终端安装程序的CDROM。
安全远程接入代理只能运行在Windows2000和WindowXP操作系统平台上,并且代理主机上应具有至少一个空余的PCI插槽,带有两张以太网卡或一块以太网卡及一个调制解调器。
安全远程接入代理对客户终端的软件没有任何特殊要求,只要求客户终端安装TCP/IP协议,通过局域网与代理主机能正常进行通讯即可。
若代理主机使用局域网与通信中心建立安全通信通道,应保证终端带有两张以太网卡,且都工作正常。其中一张网卡与客户终端处于同一子网内,另一张网卡与接入Internet的路由器处于同一子网内。
若代理主机使用调制解调器与通信中心建立安全通信通道,应保证调制解调器正常工作。
代理主机在完成系统网络配置后,应启用Internet共享功能。配置完成后即可工作。
上述基本配置步骤完成后,安装代理安全远程接入程序,完成后将在桌面创建一个代理安全接入的快捷方式。运行该软件,按提示输入PSJ311-A型数据密码卡的启动口令,以及输入KDMC验证口令,就可以通过该软件建立与用户信息中心之间的安全连接。
初始设置能够容许5位用户共享安全数据通道。用户通过安装使用“用户管理、升级授权程序”实现用户容许共享数量的增加。
通过在WIN2000/XP网络属性中添加“安全接入服务模块”,该系统核心处理模块负责对所有出入网络数据包的处理。
操作系统(WIN2000/XP)启动时,同时就无缝加载了系统核心处理模块。该模块可以对系统网络适配器的所有接收与发送的数据包进行过滤处理,它对配置了INTERNET共享的网络适配器(可以是拨号连接、局域网、ISDN、DDN、ADSL等)进行检测并作出绑定。一旦收到的IP数据包来自实施了INTERNET共享的主机,则根据规则作出明通、阻断或解密的处理;否则就是代理主机所提供服务的内网来的数据包,简单地放开处理即可。对于发送也同样,只要是绑定到外网的适配器要发出的IP数据包,都根据规则作出明通、阻断或加密的处理。否则,简单转发即可。
核心处理模块所依据的规则以及加密和解密处理所用到的密钥,是通过代理安全远程接入程序与远程的受加密机保护的网络中心中的KDMC(密钥管理中心)协商完成。在该程序运行并进行密钥协商之前,系统核心处理模块没有规则以及密钥可用,故对外网通信处于阻断状态。当代理安全远程程序通过三次握手、申请用户规则、申请通信密钥后,将得到的代理主机应该遵循的与外网通信的规则(包含代理主机与加密机保护的用户网络中心密通的规则、密钥等)。将规则与密钥设置到系统核心处理模块中。由此,系统核心处理模块就可以对代理主机同外网的通信进行对应的加密、解密、明通、阻断等处理。实现与加密机保护的网络中心之间安全通道的建立。
在系统初始状态下,没有合法用户被添加并能够使用代理共享安全通道。通过代理安全远程接入程序的用户管理功能,管理员可以通过添加用户的方式实现对内部合法用户的许可设置。完成该工作后,内部网络合法用户才能通过代理共享安全通道。
当需要扩展内网合法用户的数量时(基本版本的代理安全远程接入只能够支持5个以内的用户),可以通过用户管理授权程序与授权管理中心联系(即代理安全远程接入系统的提供商),在授权管理中心完成用户鉴别后,双方通过密文交互请求与回应。从而经过授权管理中心许可后,代理安全远程接入系统将新的用户数量许可写入数据密码卡中,从而升级到对更多内网共享安全通道的用户的支持。
权利要求
1.一种代理模式安全远程接入技术,其特征在于在代理主机内的系统核心处理模块上无缝嵌入安全保密服务模块,并安装代理安全远程接入程序、用户管理、升级授权程序,通过数据加密机实现数据加密,结合抗重放措施及MAC地址绑定、用户授权机制,在不影响用户已有网络配置的情况下实现安全共享;工作流程如下代理安全远程接入程序完成用户鉴别、与中心密钥协商,向核心设置密钥;用户管理、升级授权程序完成用户量授权增加,MAC绑定;系统核心处理模块,负责IP数据包过滤、调用加密卡进行加密、解密。负责代理共享安全出口处理。
2.根据权利要求1所述的代理模式安全远程接入技术,其特征在于安全保密服务模块对系统网络适配器的所有接收与发送的数据包进行过滤处理,它对配置了INTERNET共享的网络适配器进行检测并作出绑定,一旦收到的IP数据包来自实施了INTERNET共享的主机,则根据规则作出明通、阻断或解密的处理;否则就是代理主机所提供服务的内网来的数据包,简单地放开处理即可。对于发送也同样,只要是绑定到外网的适配器要发出的IP数据包,都根据规则作出明通、阻断或加密的处理。否则,简单转发即可。
3.根据权利要求1或2所述的代理模式安全远程接入技术,其特征在于核心处理模块所依据的规则以及加密和解密处理所用到的密钥,是通过代理安全远程接入程序与远程的受加密机保护的网络中心中的密钥管理中心KDMC协商完成,在该程序运行并进行密钥协商之前,系统核心处理模块没有规则以及密钥可用,故对外网通信处于阻断状态,当代理安全远程程序通过三次握手、申请用户规则、申请通信密钥后,将得到的代理主机应该遵循的与外网通信的规则,包含代理主机与加密机保护的用户网络中心密通的规则、密钥,将规则与密钥设置到系统核心处理模块中,由此,系统核心处理模块就可以对代理主机同外网的通信进行对应的加密、解密、明通、阻断处理,实现与加密机保护的网络中心之间安全通道的建立。
4.根据权利要求3所述的代理模式安全远程接入技术,其特征在于系统核心处理模块在接收到网络送来的IP包后,即根据IP地址过滤以及外网卡安全绑定来判别进行数据解密处理,或直接放行处理,对于外网进入的数据,判别进行调用数据密码卡进行解密处理,或是直接放行处理,或拒绝处理;对于系统要求送出的IP包,核心处理模块根据IP地址以及绑定信息完成过滤,送到外网的信息依据规则可以调用数据密码卡完成加密,或直接放行,或拒绝放行。
5.根据权利要求4所述的代理模式安全远程接入技术,其特征在于代理安全接入程序通过基于IC卡及数据密码机的硬件设备,完成系统算法加载、用户身份验证并通过与位于网络中心的密钥分发管理中心KDMC实现与中心密码机的相关参数协商,建立并管理安全连接通道。
6.根据权利要求4所述的代理模式安全远程接入技术,其特征在于用户管理、升级授权程序通过MAC地址绑定与IC卡身份验证相结合的方式完成代理共享主机的验证,通过用户数量升级请求与授权机制,实现用户容许共享数量的增加,完成对共享主机的扩展与管理。
7.根据权利要求5所述的代理模式安全远程接入技术,其特征在于代理安全接入程序的工作流程如下连接密钥分发管理中心KDMC;三次握手;漫游设置kdmc_ip判别;卡机绑定;获取本机发送申请DEK请求;读取密钥分发管理中心KDMC回应;读取密钥;是否更新KEK;存储并设置密钥。
8.根据权利要求6所述的代理模式安全远程接入技术,其特征在于用户管理、升级授权程序工作流程如下显示当前容许用户数;是否申请增加用户授权?;同管理中心联系,发出请求码、请求用户数量的密文;管理中心以三次握手方式同远程升级授权程序建立连接;管理中心通过容许用户增加授权的决定?;管理中心向远程升级授权程序发出容许回应,并密文给出用户数量;升级授权程序解出密文,并将用户数写入PSJ311-A型数据密码卡中。
9.根据权利要求4所述的代理模式安全远程接入技术,其特征在于系统核心处理模块工作流程如下系统加载核心处理模块,为收发网络数据处理分配缓冲;初始化核心模式线程、同步事件、信号量等,完成核心驱动程序注册;代理远程接入程序是否运行;同代理远程接入程序交互,完成与加解密有关的设置;收到IP数据,判别该IP数据是否需要解密,如需要解密,进行解密处理,否则直接提交给系统上层?;发送IP数据,判别该IP数据是否需要加密,如需要加密,进行加密处理,否则直接送给网络适配器。
10.根据权利要求4所述的代理模式安全远程接入技术,其特征在于代理主机使用局域网或调制解调器与通信中心建立安全通信通道,若使用局域网与通信中心建立安全通信通道,终端带有两张以太网卡,其中一张网卡与客户终端处于同一子网内,另一张网卡与接入Internet的路由器处于同一子网内。
全文摘要
本发明公开了一种实现小规模环境下的多个主机通过代理安全出口共享与数据中心间的安全保密通道的代理模式安全远程接入技术。在WIN2000/XP平台下,对已配置为Internet共享的主机实现方便可靠的无缝安全处理,采用支持PCI等多种接口的密码设备达到对该共享通道出入数据的加密保护,在不影响网络拓扑及系统应用的前提下,实现了对多台计算机共享远程安全访问的安全保护。技术核心内容主要由无缝嵌入WIN2000/XP系统内核的安全服务模块、通用计算机PCI等接口的数据密码设备、运行在共享主机上的安全接入软件、用户授权及认证管理软件构成。
文档编号G06F15/16GK1512369SQ0212810
公开日2004年7月14日 申请日期2002年12月26日 优先权日2002年12月26日
发明者董贵山, 刘熠 申请人:成都卫士通信息产业股份有限公司