专利名称:一种安全代理方法
技术领域:
本发明涉及信息安全领域,尤其涉及信息安全中的身份认证、权限控制、安全审计和数据加解密领域。
背景技术:
安全、可靠、有效地存取计算机网络信息资源是信息系统安全的关键,而身份认证技术是其主要的实现手段。广义的身份认证技术包括认证(Authentication)、授权(Authorization)和审计(Audit)等,即通常说的3A。
认证是指验证一个最终用户或设备(例如客户机、服务器、交换机、路由器、防火墙等)的声明身份的过程。认证方法一般分为“本地认证”方法和通过“可信任的第三方”的方法,即一个可信任的权威机构提供认证确认的方法。在许多已有的应用系统,如TCP(Transmission Control Protocol,传输控制协议),UDP/IP(UDPUser Datagram Protocol,用户数据包协议;IPInternet Protocol,网际协议),都使用基于口令的身份认证方式。虽然口令认证简单易行,但其安全性很脆弱,容易被窃取,因此广大用户迫切希望能有一种高强度的身份认证方式来代替当前的口令认证方式。针对口令认证方式易被窃取的缺点,PKI(Public Key Infras tructure,公钥基础设施)+电子钥匙+口令的身份认证方式提供了双因子的认证方式,即口令+电子钥匙,电子钥匙用于存放用户的数字证书及其私钥,且无法导出私钥。在PKI+电子钥匙+口令的身份认证方式下,即使用户口令被窃取,因为没有电子钥匙,别人无法冒充该用户通过身份认证系统的认证。
在权限控制方面,传统的做法是将帐号或口令与权限绑定在一起,虽然这种做法简单易行,但由于基于口令认证方式的脆弱性,将会使这种应用具有很大的局限性。目前,由于PKI技术的逐渐成熟,因此很多身份认证系统都将权限控制与数字证书绑定在一起。
用户往往还希望对敏感数据的传输进行保密,虽然VPN技术能很好的解决这个问题,但由于增加了VPN(Virtual Private Networks,虚拟专用网)设备,使整个应用系统更为复杂,并且VPN设备的价格也相当昂贵。
发明内容
本发明的目的是提供一种安全代理方法,克服目前安全代理功能单一的缺点,解决在不改变已有的应用系统(基于TCP、UDP/IP协议)软硬件的基础上,提高应用系统的身份认证强度以及系统的安全性的技术问题。
为实现上述发明目的,本发明提供一种安全代理方法,包括以下步骤第一步,颁发操作员的数字证书和认证服务器的数字证书。
本步骤又包括以下步骤1、在CA(Certificate Authority,数字证书授权机构)系统使用电子钥匙,为操作员颁发数字证书。
2、在CA系统为认证服务器颁发数字证书。
第二步,在认证服务器上配置操作员数字证书的业务权限。
第三步,进行认证客户端和认证服务器身份的双向认证,并校对操作员的业务权限,同时对相关信息做审计记录,当双向认证和权限校对通过后,认证客户端和认证服务器协商会话密钥,建立安全通道。
本步骤又包括以下步骤1、将业务客户端连接的目的地址设置为本地的环回地址,同时认证客户端开启相应的业务端口号(业务端口号可以在认证客户端上设置),并侦听业务客户端的业务请求。当认证客户端接收到业务客户端发出的业务数据包,在认证客户端向认证服务器第一次转发业务数据包之前,认证客户端识别业务数据包的业务类型,并从电子钥匙读取操作员的数字证书,生成认证请求包(请求包中包含操作员的数字证书、业务类型、唯一随机数以及操作员的私钥对业务类型和随机数的签名等信息),认证客户端将请求包发给认证服务器,请求验证操作员身份及权限。
2、认证服务器接收到认证客户端的认证请求包后,验证请求包的完整性,验证通过则访问CA系统的OCSP(Online CertificateStatus Protocol,在线数字证书状态查询协议)服务器,获取操作员的数字证书的合法性。没有通过则通知认证客户端并切断连接,同时对认证信息做审计记录。
3、当操作员的数字证书合法时,则根据认证服务器设置的操作员的业务权限,对业务类型进行匹配,同时对匹配信息做审计记录,如果操作员的业务权限与所操作的业务类型相符合,认证服务器生成认证请求包(请求包中包含认证服务器的数字证书、唯一随机数以及认证服务器私钥对随机数签名等信息),并将该请求包发给认证客户端,请求认证客户端验证认证服务器的身份。如果不符合,认证服务器通知认证客户端并切断连接,当操作员的数字证书不合法时,认证服务器通知认证客户端并切断连接。
4、认证客户端接收到认证服务器的认证请求包后,验证请求包的完整性,验证通过,则访问CA系统的OCSP服务器获取认证服务器的数字证书的合法性,验证没有通过通知认证服务器并切断连接。当认证服务器的数字证书合法时,认证客户端与认证服务器进行会话密钥的协商;当认证服务器的数字证书不合法时,认证客户端通知认证服务器并切断连接。
第四步,利用安全通道,进行业务数据的安全传输。
本步骤包括以下步骤1、认证客户端与认证服务器器协商好会话密钥后,认证客户端和认证服务器之间即建立了安全通道,同时认证客户端实时监测电子钥匙是否被拔出,如果电子钥匙被拔出则切断与认证服务器的安全通道,不作任何业务操作。
2、认证客户端用会话密钥将业务数据包加密,然后把业务类型和已加密的业务数据包发送给认证服务器。
3、认证服务器接收到认证客户端发过来的业务类型和已加密的业务数据包后,用会话密钥将已加密的业务数据包解密,根据业务类型,将已解密的数据包发送给业务服务器。
4、认证服务器接收业务服务器发出的业务数据包,用会话密钥将业务数据包加密,然后将已加密的业务数据包发送给认证客户端。
5、认证客户端接收认证服务器发过来的已加密的业务数据包后,用会话密钥将已加密的业务数据包解密,并将已解密的业务数据包发送给业务客户端,同时认证客户端实时监测电子钥匙是否被拔出,如果电子钥匙被拔出则切断与认证服务器的安全通道,不作任何业务操作。
本发明通过采用数字证书和电子钥匙相结合的认证方式以及与数字证书相结合的权限控制,实现了一种基于端口的安全代理方式,从而无需对已有的应用系统(基于TCP、UDP/IP协议)进行硬件或软件上的修改,无需改变已有的应用系统的拓扑结构(但可添加设备),提高了已有的应用系统的身份认证强度,使得权限管理机制可以灵活配置,并且同时实现了安全的密钥协商以及安全审计,增加了已有的应用系统的安全性。
图1是本发明所述安全代理方法的业务系统结构图;图2是本发明所述安全代理方法的业务系统安全接入结构图;图3是本发明所述安全代理方法的业务系统安全接入认证流程图;图4是本发明所述安全代理方法的业务系统安全接入业务流程图;图5是本发明所述安全代理方法的具有身份认证、权限控制和安全审计功能的安全代理系统结构图;图6是本发明所述安全代理方法的业务系统安全接入工作流程图。
具体实施例方式
下面结合附图和实施例对本发明做进一步详细说明。
图1是本发明所述安全代理方法的业务系统结构图。业务系统由客户端1、业务服务器3以及通信网络4组成。其中客户端是指安装了业务客户端2的计算机系统,业务系统是指基于TCP、UDP/IP协议的应有系统。
图2是本发明所述安全代理方法的业务系统安全接入结构图。业务系统安全接入由客户端1、业务服务器3、认证服务器13、以及通信网络4组成。其中客户端是指由业务客户端2、认证客户端11、电子钥匙12组成的计算机系统,业务系统是指基于TCP、UDP/IP协议的应用系统。设置业务客户端的目的地址为本地的环回地址,使业务客户端的数据包发给认证客户端;改变系统的网络配置,使业务客户端的业务数据包在到达业务服务器前必须要经过认证服务器;同时在认证客户端配置相应的业务端口号,并开启这些端口侦听业务客户端的业务请求。认证客户端接收到业务客户端发出的业务数据包后,与认证服务器通信,进行操作员的身份认证和权限审核,如果通过,认证客户端和认证服务器之间建立安全通道,否则切断与认证服务器的连接,不进行任何业务操作。建立安全通道后,认证客户端作为业务客户端的代理,接收业务客户端发出的业务数据包并加密发给认证服务器,接收认证服务器发出的加密数据包并解密发给业务客户端;认证服务器也作为业务服务器的代理接收认证客户端发出的加密数据包并解密发给业务服务器,接收业务服务器的业务数据包并加密发给认证客户端。
图3是本发明所述安全代理方法的业务系统安全接入认证流程图。
步骤31,业务客户端开始发起业务请求;步骤32,认证客户端接收到业务客户端发出的业务数据包;步骤33,在认证客户端转发业务数据包之前,认证客户端识别业务类型,生成认证请求包(包含操作员的数字证书、业务类型和操作员的私钥签名),向认证服务器发起验证操作员身份及其权限的认证请求;步骤34,认证服务器验证认证客户端的认证请求包的完整性,并根据操作员的数字证书进行操作员身份的认证和权限审核,同时做审计记录,如果通过验证则执行步骤35,如果没有通过验证则执行步骤38;步骤35,认证服务器生成认证请求包(包含认证服务器的数字证书及其私钥签名),向认证客户端发起验证认证服务器身份的认证请求;步骤36,认证客户端验证认证服务器的认证请求包的完整性,并根据认证服务器的数字证书验证认证服务器的身份,如方框36所示,如果验证通过则执行步骤37,如果验证没有通过则执行步骤38;步骤37,认证客户端与认证服务器协商会话密钥,建立安全通道;步骤38,认证客户端切断与认证服务器的连接,不作任何业务操作。
图4是本发明所述安全代理方法的业务系统安全接入业务流程图。
步骤41,业务客户端开始发起业务请求;步骤42,业务客户端向认证客户端发送业务数据包;步骤43,认证客户端实时监测电子钥匙是否被拔出,如果电子钥匙未被拔出则执行步骤44,如果电子钥匙已被拔出则执行步骤46;步骤44,认证客户端将接收到的业务数据包用会话密钥加密后,发给认证服务器;步骤45,认证服务器接收到认证客户端发出的加密数据包,用会话密钥解密后,发给业务服务器;步骤46,认证客户端切断与认证服务器的安全通道,不做任何业务操作;步骤51,业务服务器对业务客户端的业务请求作出回应;步骤52,业务服务器向认证服务器发出业务数据包;步骤53,认证服务器接收到业务服务器的业务数据包,用会话密钥将业务数据包加密后,发给认证客户端;步骤54,认证客户端实时监测电子钥匙是否被拔出,如果电子钥匙未被拔出则执行步骤55,如果电子钥匙已被拔出则执行步骤46;步骤55,认证客户端接收到认证服务器的加密数据包,用会话密钥解密后,发给业务客户端。
图5是本发明所述安全代理方法的具有身份认证、权限控制和安全审计功能的安全代理系统结构图。具有身份认证、权限控制和安全审计功能的安全代理系统由认证客户端、认证服务器、CA系统组成。其中,认证客户端由密钥协商模块、加解密模块、数字证书应用模块和电子钥匙组成;认证服务器由密钥协商模块、加解密模块、数字证书应用模块和权限控制模块组成;CA系统由CA中心、OCSP服务器等组成。
图6是本发明所述安全代理方法的业务系统安全接入工作流程图。
步骤61,业务客户端开始发起业务请求;步骤62,认证客户端接收到业务客户端的业务数据包,在认证客户端第一次向认证服务器转发数据包之前,认证客户端生成认证请求包,向认证服务器发起认证请求;步骤63,认证服务器验证认证客户端的认证请求包的完整性,并根据操作员的数字证书进行操作员身份的认证和权限审核,同时做审计记录,如果验证通过则执行步骤64,如果验证没有通过则执行步骤69;步骤64,认证服务器生成认证请求包,向认证客户端发起验证认证服务器身份的认证请求;步骤65,认证客户端验证认证服务器的认证请求包的完整性,并根据认证服务器的数字证书验证认证服务器的身份,如果验证通过则执行步骤66,如果验证没有通过则执行步骤69;步骤66,认证客户端与认证服务器进行会话密钥协商,建立安全通道;步骤67,认证客户端与认证服务器进行业务数据的加解密和数据转发;步骤68,业务流程结束;步骤69,切断认证客户端与认证服务器的连接,不进行任何业务操作。
权利要求
1.一种安全代理方法,其特征在于,包括以下步骤1.1颁发操作员的数字证书和认证服务器的数字证书;1.2在认证服务器上配置操作员数字证书的业务权限;1.3进行认证客户端和认证服务器身份的双向认证,并校对操作员的业务权限,同时对相关信息做审计记录,当双向认证和权限校对通过后,认证客户端和认证服务器协商会话密钥,建立安全通道;1.4利用安全通道,进行业务数据的安全传输。
2.如权利要求1所述的安全代理方法,其特征在于,所述步骤1.1包括以下步骤2.1在数字证书授权机构系统使用电子钥匙,为操作员颁发数字证书;2.2在数字证书授权机构系统为认证服务器颁发数字证书。
3.如权利要求1所述的安全代理方法,其特征在于,所述步骤1.3包括以下步骤3.1认证客户端将请求包发给认证服务器,请求验证操作员身份及权限;3.2认证服务器接收到认证客户端的认证请求包后,验证请求包的完整性,验证通过则访问数字证书授权机构系统的在线数字证书状态查询协议服务器,获取操作员的数字证书的合法性,没有通过则通知认证客户端并切断连接,同时对认证信息做审计记录;3.3当操作员的数字证书合法时,则根据认证服务器设置的操作员的业务权限,对业务类型进行匹配,同时对匹配信息做审计记录,如果操作员的业务权限与所操作的业务类型相符合,认证服务器生成认证请求包,并将该请求包发给认证客户端,请求认证客户端验证认证服务器的身份,如果不符合,认证服务器通知认证客户端并切断连接,当操作员的数字证书不合法时,认证服务器通知认证客户端并切断连接;3.4认证客户端接收到认证服务器的认证请求包后,验证请求包的完整性,验证通过,则访问数字证书授权机构系统的在线数字证书状态查询协议服务器获取认证服务器的数字证书的合法性,验证没有通过通知认证服务器并切断连接;当认证服务器的数字证书合法时,认证客户端与认证服务器进行会话密钥的协商,当认证服务器的数字证书不合法时,认证客户端通知认证服务器并切断连接。
4.如权利要求3所述的安全代理方法,其特征在于,所述步骤3.1中,将业务客户端连接的目的地址设置为本地的环回地址,同时认证客户端开启相应的业务端口号,业务端口号可以在认证客户端上设置,并侦听业务客户端的业务请求。
5.如权利要求3所述的安全代理方法,其特征在于,所述步骤3.1中,当认证客户端接收到业务客户端发出的业务数据包,在认证客户端向认证服务器第一次转发业务数据包之前,认证客户端识别业务数据包的业务类型,并从电子钥匙读取操作员的数字证书,生成认证请求包。
6.如权利要求1所述的安全代理方法,其特征在于,所述步骤3.4包括以下步骤6.1认证客户端与认证服务器器协商好会话密钥后,认证客户端和认证服务器之间即建立了安全通道,同时认证客户端实时监测电子钥匙是否被拔出,如果电子钥匙被拔出则切断与认证服务器的安全通道,不作任何业务操作;6.2认证客户端用会话密钥将业务数据包加密,然后把业务类型和已加密的业务数据包发送给认证服务器;6.3认证服务器接收到认证客户端发过来的业务类型和已加密的业务数据包后,用会话密钥将已加密的业务数据包解密,根据业务类型,将已解密的数据包发送给业务服务器;6.4认证服务器接收业务服务器发出的业务数据包,用会话密钥将业务数据包加密,然后将已加密的业务数据包发送给认证客户端;6.5认证客户端接收认证服务器发过来的已加密的业务数据包后,用会话密钥将已加密的业务数据包解密,并将已解密的业务数据包发送给业务客户端,同时认证客户端实时监测电子钥匙是否被拔出,如果电子钥匙被拔出则切断与认证服务器的安全通道,不作任何业务操作。
全文摘要
本发明公开了一种安全代理方法,克服了目前安全代理功能单一的缺点,解决了在不改变已有的应用系统软硬件的基础上,提高应用系统的身份认证强度以及系统的安全性的技术问题。本发明通过采用数字证书和电子钥匙相结合的认证方式以及与数字证书相结合的权限控制,实现了一种基于端口的安全代理方式,从而在无需对已有的应用系统进行硬件或软件上的修改,无需改变已有的应用系统的拓扑结构的情况下,提高了已有的应用系统的身份认证强度,使得权限管理机制可以灵活配置,并且同时实现了安全的密钥协商以及安全审计,增加了已有的应用系统的安全性。
文档编号H04L9/00GK1558584SQ20041001528
公开日2004年12月29日 申请日期2004年2月1日 优先权日2004年2月1日
发明者袁泉, 卢玉峰, 李栎, 田学锋, 芦东昕, 袁 泉 申请人:中兴通讯股份有限公司