专利名称:具ssl保护功能的安全网关及方法
技术领域:
本发明涉及一种具SSL(Secure Socket Layer,安全套接字层)保护功能的安全网关及方法,尤其涉及一种兼具SSL及IPSEC两种安全协议的安全网关及方法。
背景技术:
随着网络技术发展的日新月异,虽然造就了数字数据传送的便捷性,但同时亦包括了许多承载私密数据如公司机密、个人ID或密码的封包(Packet)往来于公众使用的网络系统如因特网(Internet)之中,而可能面临被不肖黑客(Hacker)从中入侵或窃取的问题,因此要如何维护网络数据的传送安全,已经是非常重要的课题。目前针对网络安全,已有各类型的网络产品(InternetAppliance,IA)不断的推陈出新,像是一种安全网关(Security Gateway)或防火墙(Firewall)装置可装设于该网络系统的任一接收端及/或发出端以保护准备传送的数据,并且大多采用一特定的安全标准如FTP,HTTP或Telent。
此外,市面也已常见一种虚拟专用网络网关(Virtual Private NetworkGateway,VPN Gateway),提供虚拟专用网络(VPN)的机制,其主要功能在于任一位于远程的使用端计算机系统,如位于一局域网络中,利用此机制,在经由一公众网络环境如因特网(Internet)或异步传输(ATM)网络,而与一服务器端计算机系统连接时,可在该两端之间建立起一VPN通道(Tunnel)以传送私密的数据,其传输环境如同是处于公司的局域网络如Intranet或Extranet一般,故能同时兼顾公众网络的便利性及内部网络的安全性。因此,利用此类虚拟专用网络,任何经授权的远程使用者即可经由因特网而与其它使用者、公司、分支机构、经销商或客户群分别建立专属的连结通道,以传递彼此之间重要的信息。举例而言,当一远程的使用端计算机系统欲自外部进入公司内的计算机系统如一服务器端计算机系统时,初始会先在各自所属的虚拟专用网络(VPN)装置如网关之间建立起一VPN信道,其原理采用一种信道技术(Tunneling),像是常见的IPSEC、PPTP、L2TP等三种通讯协议的其中之一,在公众网络如因特网中构筑出一条如同使用在内部网络环境中的安全信道,其中并以封装形式(Encapsulation)保护使用端传送的私密数据的数据封包(Packet),防止在传送数据予接收端的过程中遭外人如黑客入侵窃取,同时该私密数据的传送还可配合其它机制如安全认证、身分验证(IDAuthentication)或加/解密机制(Decryption/Encryption)等,这些加/解密机制大多使用以下两种编码型式一种为呈对称式的密钥加密(Secret keycryptography),及一种非对称式的公钥加密(Public key cryptography)。
以网络安全协议(IPSEC,Internet Protocol Security)为例,其为网络工程小组(Internet Engineering Task Force,IETF)为整合不同的标准所订定,将加/解密技术运用于网络层(IP Layer)的端对端通讯中,以确保客户端及/或服务器端之间在传送数据时的资格验证(Authentication)、完整性(Integrity)、存取控制(Access Control)及机密性(Confidentially)。前述IPSEC通讯协议包括一安全关联(Security Association,SA),以供双方进行身份验证、沟通共享的加/解密算法、以及彼此产生、交换、和建立金钥。而每一台符合IPSEC通讯协议的VPN网关的安全关联(Security Association,SA)大多记录在一种IPSECVPN单元如该台IPSEC VPN网关的驱动软/固件中,且不同的IPSEC VPN网关会各自使用不同的安全关联(SA),若要在该客户端及服务器端两端之间建立起双向沟通的IPSEC VPN通道时,则该两端皆需持有对方的安全关联(SA)才能进行。在任一端如客户端的IPSEC VPN网关取得另一端如服务器端的IPSEC VPN网关的安全关联(SA)的过程中,该客户端的IPSEC VPN网关要先接收并设定该服务器端IPSEC VPN网关传来的安全关联的组态参数(Configuration Parameter);然而,公知IPSEC VPN网关在建立IPSEC VPN通道时经常会发生下列问题(1)在网站对网站(site-to-site)的网络架构中,客户端如要取得一远程服务器端的IPSEC VPN网关的安全关联的组态参数时,大多是从一公众网络如因特网(Internet)传送至一客户端的IPSEC VPN网关进行设定,或甚至由双方IT人员直接使用电话边沟通边设定,但此种传输方式缺乏保护的机制,安全性较差,以致该安全关联的组态参数容易被黑客从中截取;并且,安全关联的组态参数设定非常复杂,对于新手而言非常容易出错,所以在设定操作上十分不方便。
(2)在远程访问(Remote Access)的网络架构中,如使用笔记型计算机的移动使用者欲与一远程服务器端如公司之间建立起一IPSEC VPN通道,则可能需要先经由电话或电子邮件等非安全的管道取得该服务器端的VPN网关的安全关联(SA)的组态参数,并将该安全关联(SA)的组态参数以手动方式逐一设定于笔记型计算机的IPSEC VPN软件中;但是,此种安全关联的取得过程同样不安全且操作不易。
发明内容
为解决上述公知技术的问题,本发明的一主要目的在于提供一种具SSL保护功能的安全网关及方法,适用于连接一客户端对服务器端(Client-To-Server)的网络架构中,因该邻近于服务器端的安全网关同时支持SSL及IPSEC两种安全协议,当该任一客户端欲与服务器端建立IPSEC VPN时,利用客户端大多使用可支持SSL安全协议的网络浏览器,该安全网关的一SSL VPN驱动单元可先对客户端进行有关SSL安全协议的身份验证,并在服务器端及客服端之间建立一SSL VPN通道;待安全网关的SSL VPN驱动单元确认该客户端的身份验证属合法无误后,即代表进一步同意在服务器端与客户端之间建立起一IPSEC VPN通道,则该安全网关的一IPSEC VPN驱动单元会自动将其安全关联(SA),并经由SSL VPN驱动单元制作成设定文件及在SSL VPN通道的保护下安全地传送予该客户端,故数据传送的安全性极高。当该客户端的使用者收到此包含安全关联的设定文件时,仅需加以启动即可完成对安全关联(SA)的设定,即在服务器端与客户端之间建立起IPSEC VPN通道,故其设定操作极为方便及准确。
为实现前述目的,本发明提供一种同时支持SSL及IPSEC两种安全协议的安全网关,其适用于连接一客户端及一服务器端的网络系统中,包括一操作接口、SSL VPN驱动单元、连结接口及IPSEC VPN驱动单元。前述该安全网关装置邻近于该服务器端,而该客户端进一步具有一支持SSL安全协议的网络浏览器以对应该服务器端的安全网关的SSL VPN驱动单元,以及一IPSEC VPN网关或IPSEC VPN应用软件以对应该服务器端的安全网关的IPSEC VPN驱动单元。
前述安全网关的操作接口,经由网络系统在前述客户端的一网络浏览器上产生一网页画面,且该网页画面提供一远程访问自动设定机制,要求该客户端的使用者自网络浏览器输入一身份验证数据以传送至该安全网关的SSLVPN驱动单元进行验证。该SSL VPN驱动单元,受前述远程访问自动设定机制启动的牵连,在服务器端及客户端之间的网络系统上建立起一SSL VPN通道,接收前述身份验证数据,并判断该身份验证数据是否合法,以决定是否同意客户端与服务器端之间进一步建立起IPSEC VPN通道。当服务器端的安全网关的SSL VPN驱动单元判断该身份验证数据为合法时,即通知该客户端将其一安全认证数据经由该SSL VPN信道安全传送至该SSL VPN驱动单元处理。该连结接口,中介该SSL VPN驱动单元与IPSEC VPN驱动单元之间的数据传送,如前述安全认证数据。该IPSEC VPN驱动单元,依据该连结接口传来的前述安全认证数据产生一安全关联,并通过SSL VPN驱动单元进一步制作成一包含安全关联的设定文件,且在经由该SSL VPN通道的保护之下传予该客户端。当该客户端收到该包含安全关联的设定文件并加以执行时,即可在客户端的IPSEC VPN网关及应用软件上完成对安全关联的设定,进而使该客户端及服务器端之间建立起一IPSEC VPN通道。
此外,本发明进一步提供一种使安全网关具有SSL保护功能的方法,适用于连接至少一客户端及一服务器端的网络系统中,其中该安全网关位于服务器端,包括使服务器端的安全网关的一操作接口经该客户端的一支持SSL安全协议的网络浏览器上产生一特定的网页画面,且该网页画面具有一远程访问自动设定机制,用于要求客户端的使用者输入其身份验证数据以传送至该安全网关的一SSL VPN驱动单元;启动该远程访问自动设定机制,进而牵引该安全网关的SSL VPN驱动单元在该服务器端及客户端之间建立起一SSL VPN通道以传送身份验证数据;使SSL VPN驱动单元对此身份验证数据进行符合SSL安全协议的身份验证,以判断该客户端的身份验证数据是否合法,进而决定是否同意客户端与服务器端之间建立起IPSEC VPN通道;当该SSL VPN驱动单元判断出该身份验证数据为合法时,则要求客户端经由该SSL VPN通道传送其安全认证数据至该安全网关的SSL VPN驱动单元;该SSL VPN驱动单元经由一连结接口的数据中介,将该安全认证数据传予与该安全网关的一IPSEC VPN驱动单元处理;该IPSEC VPN驱动单元依据该安全认证数据产生一安全关联,并通过该SSL VPN驱动单元制作成一包含安全关联的设定文件,且经由该SSL VPN通道的保护之下安全地传送该包含安全关联的设定文件予客户端;以及客户端执行该包含安全关联的设定文件以完成对安全关联的设定,进而使该客户端及服务器端之间建立起一IPSEC VPN通道。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举实施例,并配合附图,详细说明如下
图l显示一种依据本发明的一第一实施例的具SSL保护功能的安全网关,运用于一客户端对服务器端(Client-To-Server)的网络架构中,其中该客户端配备一IPSEC VPN应用软件;图2显示一种依据本发明的一第二实施例的具SSL保护功能的安全网关,运用于一客户端对服务器端(Client-To-Server)的网络架构中,其中该客户端配备一IPSEC VPN网关;以及图3和4图为连续的流程图,依据前述图1及2图的安全网关,使安全网关具有SSL保护功能的方法。
其中,附图标记说明如下10,20服务器端12,22因特网14,24客户端100,200具SSL保护功能的安全网关102,202服务器端计算机系统142,242客户端计算机系统144,244网络浏览器146 IPSEC VPN应用软件246 IPSEC VPN网关 1002,2002操作接口1004,2004 SSL VPN驱动单元1006,2006连结接口1008,2008 IPSEC VPN驱动单元
S104,S108,S110,S114,S120,S130,S140,S150,S160,S170,S180,S190,S204,S208,S210,S214,S220,S230,S240,S250,S260,S270,S280及S290为方法步骤具体实施方式
首先如图1所示,为依据本发明的一第一较佳实施例的一安全网关100,其同时支持SSL及IPSEC两种安全协议,并适用于连接一服务器端10及一客户端14的网络架构如因特网12中,其主要包括一操作接口1002、一SSL VPN驱动单元1004、一连结接口1006及一IPSEC VPN驱动单元1008。此外,前述安全网关100装置邻近设于该服务器端10的一计算机系统102如服务器,而该客户端14进一步具有一计算机系统142如笔记型计算机、一支持SSL安全协议的网络浏览器144对应该服务器端10的安全网关100的SSL VPN驱动单元1004,以在服务器端10及客户端14之间建立一SSLVPN通道,以及一IPSEC VPN应用软件146或一IPSEC VPN网关246(见图2),用于对应该服务器端10的安全网关100的IPSEC VPN驱动单元1008,以在服务器端10及客户端14之间建立一IPSEC VPN通道。
前述安全网关100的操作接口(UI)1002,经由因特网12在前述客户端14的计算机系统142的一网络浏览器144上产生一网页画面,且该网页画面提供一远程访问自动设定机制,当该机制被客户端14的使用者点选启动时,会要求该使用者自网络浏览器144输入一身份验证数据,供该机制进一步接收并传送此身份验证数据至该安全网关100的SSL VPN驱动单元1004,以进行符合SSL安全协议的身份验证。前述该身份验证数据包括经该服务器端10预先授权可以进行联机存取的个人账号及/或密码。
该SSL VPN驱动单元1004,依据本实施例为一支持SSL安全协议的VPN驱动固件(Firmware),主要用于保护网络传输架构中应用层(ApplicationLayer)的数据传送,故能与客户端14的网络浏览器144对应产生SSL安全协议的保护。前述远程访问自动设定机制启动时,即牵连该SSL VPN驱动单元1004在服务器端10及客户端14之间的因特网12上建立起一SSL VPN通道,进而将前述身份验证数据经由该SSL VPN信道安全地传送至SSL VPN驱动单元1004。当该SSL VPN驱动单元1004接收到前述身份验证数据时,会先判断持有该身份验证数据的客户端14是否属于预先授权的合法客户端,以决定是否同意在服务器端10与客户端14之间进一步建立起IPSEC VPN通道,以传送或存取服务器端的私密数据如公司机密数据等。当该SSL VPN驱动单元1004判断该身份验证数据确为合法时,即经由该网络浏览器144发出一信息通知该客户端14将其一安全认证数据经由该SSL VPN信道安全传送至该SSL VPN驱动单元1004处理,其中该安全认证数据可包括客户端14的网络地址(IP)、金钥或凭证等,其可借助该服务器端10或客户端14的计算机系统102,142主动侦测或由该使用者手动上传。反之,当SSL VPN驱动单元1004判断该身份验证数据并非合法时,则发出一警告信息予该客户端14,拒绝进一步建立IPSEC VPN通道。
该连结接口1006,依据本实施例为一种套接字程序(Socket),专管网络传输架构中有关应用层(Application Layer)及网络层(IP Layer)之间的数据传送,故可用于中介该SSL VPN驱动单元1004与IPSEC VPN驱动单元1008之间的数据传送,其中包括前述安全认证数据。
该IPSEC VPN驱动单元1008,依据本实施例为一支持IPSEC安全协议的VPN驱动固件(Firmware),用于保护网络传输架构中网络层(IP Layer)的数据传送。该IPSEC VPN驱动单元1008依据该连结接口1006传来的前述安全认证数据产生一安全关联(SA),并通过该SSL VPN驱动单元1004进一步制作成一包含安全关联的可执行设定文件,且在经由该SSL VPN通道的保护之下传回该客户端14。
当该客户端14收到该包含安全关联的设定文件并加以执行时,即可在客户端14的IPSEC VPN网关246(见图2)或应用软件146(见图1)上完成对安全关联的设定,进而使该客户端14及服务器端10之间建立起一IPSEC VPN通道。
请进一步参考图2,显示依据本发明的一第二较佳实施例的一安全网关200,同样运用于连接一客户端24及一服务器端20的因特网22上,其与前述第一实施例的差异仅在第二实施例的客户端24配置一IPSEC VPN网关246,而第一实施例的客户端14配置一IPSEC VPN应用软件146,其余都相同。
此外,图3及图4显示依据图1及图2的安全网关100,200,使该安全网关100,200执行SSL保护功能的方法,其适用于连接至少一客户端14,24及一服务器端10,20的网络系统12,22中,其中该安全网关100,200位于服务器端10,20,其步骤包括步骤S104,S204,使服务器端10,20的安全网关100,200的一操作接口1002,2002自远方客户端14,24计算机系统142,242的一支持SSL安全协议的网络浏览器144,244上产生一特定的网页画面,且该网页画面具有一远程访问自动设定机制;步骤S106,S206,启动该网页画面的远程访问自动设定机制,即发出信息要求该客户端14,24的使用者输入其身份验证数据;步骤S108,S208,使该远程访问自动设定机制接收该客户端14,24的使用者所输入的身份验证数据,以传送至该安全网关100,200的一SSL VPN驱动单元1004,2004;步骤S110,S210,受到该远程访问自动设定机制启动的牵引,使该安全网关100,200的SSL VPN驱动单元1004,2004在该服务器端10,20及客户端14,24之间建立起一SSL VPN通道,并使该身份验证数据借助该SSL VPN信道的保护传送至SSL VPN驱动单元1004,2004;步骤S112,S212,使SSL VPN驱动单元1004,2004对此身份验证数据进行符合SSL安全协议的身份验证,以判断该客户端14,24的身份验证数据是否合法,进而决定是否同意客户端14,24与服务器端10,20之间建立起一IPSEC VPN通道;步骤S114,S214,当该SSL VPN驱动单元1004,2004判断出该身份验证数据为合法时,即代表服务器端10,20的SSL VPN驱动单元1004,2004同意进一步与客户端14,24建立起IPSEC VPN通道,故要求客户端14,24经由该SSL VPN通道传送其安全认证数据至该安全网关100,200的SSL VPN驱动单元1004,2004;反之,当发现该客户端14,24的身份验证数据并非合法时,则发出一警告信息予客户端14,24的网络浏览器144,244,表示拒绝进一步建立IPSEC VPN通道;步骤S120,S220,该SSL VPN驱动单元1004,2004借助一连结接口1006,2006的数据中介,将该安全认证数据传予与该安全网关100,200的一IPSECVPN驱动单元1008,2008处理;
步骤S130,S230,该IPSEC VPN驱动单元1008,2008依据该安全认证数据产生一安全关联(SA),并通过该连结接口1006,2006传予该SSL VPN驱动单元1004,2004;步骤S132,S232,该SSL VPN驱动单元1004,2004将该安全关联(SA)制作成一包含安全关联的可执行设定文件;以及步骤S140,S240,在该SSL VPN通道的保护下,安全地传送该包含安全关联的设定文件予客户端14,24的计算机系统142,242中。
请进一步参考图4的步骤S160,S260,客户端14,24在其计算机系统142,243中执行该包含安全关联的设定文件,以在IPSEC VPN网关246(见图2)或IPSEC VPN应用软件146(见图1)完成对安全关联的设定;步骤S170,S270,客户端14,24依据该安全关联,请求服务器端10,20的安全网关100,200的IPSEC VPN驱动单元1008,2008与该客户端14,24之间建立起一IPSEC VPN通道;步骤S180,S280,该安全网关100,200的IPSEC VPN驱动单元1008,2008同意与该客户端14,24建立起IPSEC VPN通道;以及步骤S190,S290,该客户端14,24及服务器端10,20之间开始建立起IPSEC VPN信道以传送私密数据。
综上所述,依据本发明较佳实施例的具SSL保护功能的安全网关及方法,借助该安全网关同时支持SSL及IPSEC两种安全协议,并利用客户端的一般网络浏览器皆广泛支持SSL安全协议的特性,使任一客户端欲与服务器端建立IPSEC VPN时,先借助该服务器端的安全网关的一SSL VPN驱动单元与客户端网络浏览器之间存在的SSL安全协议,对客户端的使用者进行有关SSL安全协议的身份验证,以在服务器端及客服端之间建立一SSL VPN通道。当安全网关的SSL VPN驱动单元确认该客户端的身份验证属合法无误后,即同意在服务器端与客户端之间建立起一IPSEC VPN通道,其中该安全网关的一IPSEC VPN驱动单元自动将其安全关联(SA),并经由SSL VPN驱动单元制作成设定文件及在SSL VPN通道的保护下安全地传送予该客户端,故数据传送具有较高的安全性。当该客户端的使用者收到此包含安全关联的设定文件时,仅需加以启动即可完成对安全关联(SA)的设定,使服务器端与客户端之间建立起IPSEC VPN通道,故其设定操作亦极为方便及准确。
虽然本发明已以较佳实施例揭示如上,然而其并非用以限定本发明,任何本领域的技术人员,在不脱离本发明的精神和范围内,可做一些更动与润饰。
权利要求
1.一种安全网关,适用于连接至少一客户端及一服务器端的网络系统中,包括一操作接口,经由网络系统在所述客户端的一网络浏览器产生一网页画面,且该网页画面提供一远程访问自动设定机制供该客户端的使用者启动;一SSL VPN驱动单元,受所述远程访问自动设定机制启动的牵连,在服务器端及客户端之间的网络系统上建立起一SSL VPN通道,并使该客户端的一安全认证数据经由该SSL VPN信道安全传送至该SSL VPN驱动单元;一连结接口,中介该SSL VPN驱动单元与一IPSEC VPN驱动单元之间的数据传送,其中包括该安全认证数据;以及该IPSEC VPN驱动单元,依据该连结接口传来的所述安全认证数据产生一安全关联,并通过SSL VPN驱动单元进一步制作成一包含该安全关联的信息,且经由该SSL VPN通道传予该客户端设定,使该客户端及服务器端之间建立起一IPSEC VPN通道。
2.如权利要求1所述的安全网关,其特征在于该安全网关设于服务器端。
3.如权利要求1所述的安全网关,其特征在于该客户端进一步配备一IPSEC VPN网关或一IPSEC VPN应用软件以对应该服务器端的安全网关的IPSEC VPN驱动单元。
4.如权利要求3所述的安全网关,其特征在于该客户端的网络浏览器支持SSL安全协议以对应该服务器端的安全网关的SSL VPN驱动单元。
5.如权利要求4所述的安全网关,其特征在于当该远程访问自动设定机制启动时,会要求该客户端的使用者自网络浏览器输入一身份验证数据以传送至该安全网关的SSL VPN驱动单元,其中该身份验证数据至少包括密码。
6.如权利要求5所述的安全网关,其特征在于该客户端的身份验证数据经由该SSL VPN通道传予该安全网关的SSL VPN驱动单元。
7.如权利要求6所述的安全网关,其特征在于该SSL VPN驱动单元进一步判断其收到的身份验证数据是否合法,以决定是否同意客户端与服务器端之间建立起IPSEC VPN通道。
8.如权利要求7所述的安全网关,其特征在于当该SSL VPN驱动单元判断出该身份验证数据为合法时,则要求客户端经由该SSL VPN通道传送其安全认证数据至该SSL VPN驱动单元。
9.如权利要求8所述的安全网关,其特征在于该安全认证数据包括客户端的网络地址、金钥或凭证。
10.如权利要求1所述的安全网关,其特征在于该SSL VPN驱动单元为一支持SSL安全协议的VPN驱动固件,用于保护应用层上的数据传送。
11.如权利要求10所述的安全网关,其特征在于该连结接口为一套接字程序。
12.如权利要求11所述的安全网关,其特征在于该IPSEC VPN驱动单元为一支持IPSEC安全协议的VPN驱动固件,用于保护网络层上的数据传送。
13.如权利要求1所述的安全网关,其特征在于该包含安全关联的信息为一可执行的设定文件。
14.一种使安全网关具有SSL保护功能的方法,适用于连接至少一客户端及一服务器端的网络系统中,其中该安全网关位于服务器端,包括使安全网关的一操作接口经该客户端的网络浏览器产生一特定的网页画面,其上具有一远程访问自动设定机制;启动该客户端网络浏览器的网页画面上的远程访问自动设定机制,进而牵引该安全网关的一SSL VPN驱动单元在该服务器端及客户端之间建立起一SSL VPN通道;使该客户端的一安全认证数据经由该SSL VPN信道安全传送至该安全网关的SSL VPN驱动单元;该SSL VPN驱动单元将该安全认证数据传予与该安全网关的一IPSECVPN驱动单元处理;该IPSEC VPN驱动单元依据该安全认证数据产生一安全关联,并通过该SSL VPN驱动单元制作成一包含安全关联的信息,且经由该SSL VPN通道传送该包含安全关联的信息予客户端设定;以及借助客户端设定该包含安全关联的信息,使该客户端及服务器端之间建立起一IPSEC VPN通道。
15.如权利要求14所述的方法,其特征在于该客户端进一步配备一IPSEC VPN网关或一IPSEC VPN应用软件以对应该服务器端的安全网关的IPSEC VPN驱动单元。
16.如权利要求15所述的方法,其特征在于该客户端的网络浏览器支持SSL安全协议以对应该安全网关的SSL VPN驱动单元。
17.如权利要求16所述的方法,其特征在于进一步包括当该远程访问自动设定机制启动时,会要求该客户端的使用者自网络浏览器输入一身份验证数据以传送至该安全网关的SSL VPN驱动单元,其中该身份验证数据至少包括密码。
18.如权利要求17所述的方法,其特征在于该客户端的身份验证数据经由该SSL VPN信道传予该SSL VPN驱动单元。
19.如权利要求18所述的方法,其特征在于该安全网关的SSL VPN驱动单元判断其收到的身份验证数据是否合法,以决定是否同意客户端与服务器端之间建立起IPSEC VPN通道。
20.如权利要求19所述的方法,其特征在于当该SSL VPN驱动单元判断出该身份验证数据为合法时,则要求客户端经由该SSL VPN通道传送其安全认证数据至该安全网关的SSL VPN驱动单元。
21.如权利要求20所述的方法,其特征在于该安全认证数据包括客户端的网络地址、金钥或凭证。
22.如权利要求14所述的方法,其特征在于该SSL VPN驱动单元为一支持SSL安全协议的VPN驱动固件,用于保护应用层上的数据传送。
23.如权利要求22所述的安全网关,其特征在于该SSL VPN驱动单元借助一连结接口的数据中介将该安全认证数据传予与该安全网关的IPSECVPN驱动单元处理。
24.如权利要求23所述的方法,其特征在于该IPSEC VPN驱动单元为一支持IPSEC安全协议的VPN驱动固件,用于保护网络层上的数据传送。
25.如权利要求14所述的方法,其特征在于该包含安全关联的信息为一可执行的设定文件。
26.一种使安全网关具有SSL保护功能的方法,适用于连接至少一客户端及一服务器端的网络系统中,其中该安全网关位于服务器端,包括使安全网关的一操作接口经该客户端的网络浏览器产生一特定的网页画面,且该网页画面进一步具有一远程访问自动设定机制,接收该客户端的使用者自网络浏览器输入一身份验证数据;启动该客户端网络浏览器的网页画面上的远程访问自动设定机制,进而牵引该安全网关的一SSL VPN驱动单元;在该服务器端及客户端之间建立起一SSL VPN通道,使该客户端的身份验证数据经由该SSL VPN信道传予该安全网关的SSL VPN驱动单元;该SSL VPN驱动单元判断其收到的身份验证数据是否合法,以决定是否同意客户端与服务器端之间建立起IPSEC VPN通道;当判断出该身份验证数据为合法时,则要求客户端经由该SSL VPN通道传送一可建立所述IPSEC VPN信道的安全认证数据予该安全网关的一IPSEC VPN驱动单元处理;该IPSEC VPN驱动单元依据该安全认证数据产生一安全关联,并经由SSL VPN驱动单元及SSL VPN信道的保护下安全地传回客户端;以及使该客户端设定该安全关联,进而使该客户端及服务器端之间建立起一IPSEC VPN通道。
全文摘要
本发明涉及一种具SSL保护功能的安全网关及方法,适用于连接一客户端及一服务器端的网络系统中,其包括操作接口、SSL VPN驱动单元、连结接口及IPSEC VPN驱动单元。当该任一客户端欲与服务器端建立IPSEC VPN时,利用客户端大多数使用支持SSL安全协议的网络浏览器,该安全网关先对客户端进行有关SSL安全协议的身份验证,以在服务器端及客服端之间建立一SSL VPN通道。待该安全网关确认该客户端的身份验证合法后,即自动将其安全关联(SA)以设定文件格式经由此SSL VPN通道的保护下安全地传回该客户端,由该客户端的使用者执行设定文件后,即可在服务器端与客户端之间建立起IPSEC VPN通道。
文档编号H04L29/06GK1719813SQ20041006379
公开日2006年1月11日 申请日期2004年7月9日 优先权日2004年7月9日
发明者高文鸿 申请人:威达电股份有限公司