专利名称:一种安全远程接入技术及其网关的制作方法
技术领域:
本发明涉及信息安全领域,尤其是一种用于公开网络的安全远程接入技术 及其网关。
背景技术:
安全远程接入现在是目前热门研究课题。随着企业业务的扩展,分支机构 不断增多,渠道、合作伙伴、远程或移动办公的需求也在不断的增加。 一个企 业如果能保证员工在异地也能像在办公室里一样方便接入企业内网并及时准确 地获得所需的资料信息,将大大提高企业的工作效率。
传统的远程接入方式是使用专网,近几年来企业逐渐趋向采用比较新的VPN 技术作为远程访问和网络互联的解决方案,VPN是Virtual Private Network的 縮写,是指在公共的互连网络中建立私有专用网络,也称为"虚拟专用网", 因为数据被加密后仍然在公共网络中传播,而不是真正在物理上隔离的专用网。 由于使用公网传输,与专线的费用相比VPN的价格低廉,可有效的为企业节约 成本。VPN具有安全、灵活、以及可扩展性强等特点,能充分满足企业分支机构、 移动办公安全通信的需求,因此最近几年得到快速的应用和发展。
申请日为2002. 12.26,申请号为"02128102.5",名称为《代理模式安全远 程接入技术》公开了一种代理模式、PCI接口、无缝嵌入WIN2000/XP系统内核 的一种安全远程接入技术,具体说是在IP层实现VPN的一种技术。该发明解决 了建立安全远程接入隧道的问题,但是配置复杂,并且客户端需要安装复杂的 软件,而且当用户数量增加时,VPN的管理难度将呈几何级数增长。因此实际
应用中有部署和维护成本高的问题。
申请日为2003. 9. 29,申请号为03151410. 3,名称为《实现WEB应用安全 加固的快速部署方法》公开了一种用SSL加固访问WEB服务的方法,但是没有 实现加固其他C/S应用,只能用于保护后台WEB服务。
发明内容
本发明的目的是提供一种安全、方便、易学,并且部署和维护费用便宜 的安全远程接入技术。
本发明的另 一 目的是提供一种安全远程接入网关。 本发明的目的是通过实施下述技术方案來实现的 一种安全远程接入技术,其特征在于,包括如下步骤-
SSL监听服务模块侦听到来自广域网的SSL握手请求后,转发用户的身份 认证请求,以及处理所有的https数据包;
身份认证模块对上述转发的请求进行身份认证,通过认证后,进入下一步, 否则拒绝用户请求;
由客户端安全检测模块对远程接入客户机进行安全监测,通过安全监测后, 进入下一步,否则拒绝用户请求;
通过请求处理模块对用户请求进行分类处理对于Web应用请求,则转入 WEB应用处理模块,进入WEB页面;对访问内部局域网的请求,则转向访问 控制模块;
访问控制模块通过从策略库中获取用户的访问策略,对用户请求进行访问 控制判断,判断为无权限的访问请求,拒绝用户请求,判断为有权限的访问请 求,则转向内部应用处理模块,针对用户提供的不同权限,进入内部局域网的 不同服务平台。
其中上述用户的身份认证请求是进入第三方认证模块,通过认证后,进入 客户端安全检测模块,否则拒绝用户请求。
本发明所提供的安全远程接入网关,包括SSL监听服务模块、身份认证模 块、客户端安全检测模块、请求处理模块、策略数据库、WEB应用处理模块、 访问控制模块、应用处理模块;
所述SSL监听服务模块,用于侦听来自广域网的SSL握手请求,以及处理 所有的https数据包;
所述身份认证模块,用于对用户的身份进行验证;也可以采用第三方认证 模块,用于对用户的身份进行验证。
所述客户端安全检测模块,负责对远程接入客户机进行安全扫描;
所述请求处理模块,用户请求进行处理,如果是Web应用请求,直接转向 WEB应用处理模块,如果是访问内部局域网,则转向访问控制模块;
WEB应用处理模块,根据用户请求,转到WEB应用页面;
策略数据库,存放接入内部局域网的访问控制策略;
访问控制模块,从策略库中获取用户的访问策略,对请求权限进行访问控 制判断;
应用处理模块,根据客户的权限,对访问局域网的请求和后台服务的响应 进行处理和转发。
只需要在局域网和广域网交接的地方安装部署本发明网关,无需在客户端 安装任何软件,远程用户就可以利用浏览器安全接入局域网。本发明在建立强 安全性VPN隧道的基础上,提供了多层次的安全防护手段,支持更细粒度的身
份认证、授权和访问控制,同时结合终端机器的安全检测,能更好消除终端机
器的接入给内部局域网带来的安全隐患。本发明具有和在IP层实现VPN同样的 安全强度,却有更好更细的对远程接入用户的控制,无需客户端软件,部署和 维护成本低,应用方便,有良好的市场推广前景。
图示为本发明的功能框图。
具体实施例方式
如图所示,安全远程接入系统由客户机、安全远程接入网关以及第三方认 证模块组成。客户机和安全远程接入网关的外网口都是与广域网相连,安全远 程接入网关的内网口和内部局域网相连。其中安全远程网关由以下模块组成-
(a) : SSL监听服务模块,负责侦听来自广域网的SSL握手请求,以及处 理所有的https数据包;
(b) :身份认证模块,对用户的身份进行验证,可以通过扩展接入第三方
认证模块5。
(C):客户端安全检测模块,负责对远程接入客户机进行安全扫描。
(d) :请求处理模块,主要是对请求进行处理,如果是Web应用请求,直 接转向WEB应用处理模块,如果是访问内部局域网应用,则直接转向访问控制 模块。
(e) :策略数据库,存放了接入内部局域网的访问控制策略。
(f) : WEB应用处理模块,对访问web页面的请求进行处理。
(g) :访问控制模块,从策略库中获取用户的访问策略,对请求进行访问
控制判断。
(h) :应用处理模块,对访问后台服务的请求和后台服务的响应进行必要 的处理和转发。
本发明实现安全远程接入的具体步骤如下
第一步安全远程接入网关分配广域网可以访问的地址,当远程客户机访 问内部局域网资源时,首先打开浏览器(la),通过HTTPS通道访问安全远程 接入网关的WEB应用。浏览器和安全远程接入网关间建立安全HTTPS通道。
第二步HTTPS通道建立后,首先要求用户登录,远程用户必须提交合法 的登录帐号和口令;SSL监听服务模块侦听来自广域网的SSL握手请求,转发 用户的身份认证请求,以及处理所有的https数据包。
第三步安全远程接入网关的身份认证模块接收到远程客户机的登录请求 后,对用户的身份进行验证。如果身份验证失败,则直接拒绝该用户的登录系 统行为,否则进入下一步。
第四步客户端安全检测模块通过网页自动下载安全客户端检测模块在客 户端运行,对客户机按照指定策略进行安全监测。安全监测如果失败,则直接 拒绝用户的登录,否则进入下一步。
第五步安全远程接入网关为该用户建立会话信息,该用户登录到系统, 对该用户后续的请求通过请求处理模块进行处理。请求处理模块支持处理的请 求主要包括页面访问请求和后台应用访问请求。如果是页面请求,就直接将请 求转向WEB应用模块进行处理,如果是后台服务请求,就直接将请求转向访问 控制处理模块。
第六步访问控制模块通过从策略库中获取用户的访问策略,对用户请求 进行访问控制判断,判断为无权限的访问请求,拒绝用户请求,判断为有权限 的访问请求,则转向内部应用处理模块,针对用户提供的不同权限,进入内部 局域网的不同服务平台。
图示中安全远程接入网关通过页面自动下传给客户端Agent模块,是通过客
户机浏览器运行在客户机的小程序。小程序随着登录会话的建立开始生命周期,
随着浏览器的关闭退出系统。除了访问内部局域网WEB资源以外的其他应用提 供客户端处理功能,能支持基于TCP/IP的C/S应用的远程安全访问。
采用本发明的安全远程接入网关和技术,其具有以下特点基于SSL技术, 并且利用安全加密算法模块对SSL通道算法进行加固;无须安装客户端软件, 直接通过浏览器接入即可;支持多种身份认证方式;支持对远程接入用户的细 粒度控制,可以对用户访问内部资源的权限进行控制;支持远程用户接入检测 和退出清除功能;支持基于TCP/IP技术的多种应用,包括WEB应用、FTP、 网络邻居、邮件等应用。其部署和维护成本低,应用方便,有良好的市场推广 前景。
需要说明的是虽然上述实施例已经详细描述了本发明的结构,但本发明 并不限于上述实施例,凡是本领域技术人员从上述实施例中不经过创造性劳动 就可以想到的替换结构,均属于本发明的保护范围。
权利要求
1、一种安全远程接入技术,其特征在于,包括如下步骤SSL监听服务模块侦听到来自广域网的SSL握手请求后,转发用户的身份认证请求,以及处理所有的https数据包;身份认证模块对上述转发的请求进行身份认证,通过认证后,进入下一步,否则拒绝用户请求;由客户端安全检测模块对远程接入客户机进行安全监测,通过安全监测后,进入下一步,否则拒绝用户请求;通过请求处理模块对用户请求进行分类处理对于Web应用请求,则转入WEB应用处理模块,进入WEB页面;对访问内部局域网的请求,则转向访问控制模块;访问控制模块通过从策略库中获取用户的访问策略,对用户请求进行访问控制判断,判断为无权限的访问请求,拒绝用户请求,判断为有权限的访问请求,则转向内部应用处理模块,针对用户提供的不同权限,进入内部局域网的不同服务平台。
2、 如权利要求1所述的一种安全远程接入技术,其特征在于用户的身份 认证请求进入第三方认证模块,通过认证后,进入客户端安全检测模块,否则 拒绝用户请求。
3、 一种实现权利要求1或2所述的一种安全远程接入网关,其特征在于, 包括SSL监听服务模块、身份认证模块、客户端安全检测模块、请求处理模块、 策略数据库、WEB应用处理模块、访问控制模块、应用处理模块;所述SSL监听服务模块,用于侦听来自广域网的SSL握手请求,以及处理所有的https数据包;所述身份认证模块,用于对用户的身份进行验证; 所述客户端安全检测模块,负责对远程接入客户机进行安全扫描; 所述请求处理模块,用户请求进行处理,如果是Web应用请求,直接转向WEB应用处理模块,如果是访问内部局域网,则转向访问控制模块; WEB应用处理模块,根据用户请求,转到WEB应用页面; 策略数据库,存放接入内部局域网的访问控制策略;访问控制模块,从策略库中获取用户的访问策略,对请求权限进行访问控 制判断;应用处理模块,根据客户的权限,对访问局域网的请求和后台服务的响应 进行处理和转发。
4、 一种实现权利要求1或2所述的一种安全远程接入网关,其特征在于, 所述身份认证模块为第三方认证模块,用于对用户的身份进行验证。
全文摘要
本发明涉及一种安全远程接入技术及其安全远程接入网关,包括如下步骤SSL监听服务模块将来自广域网的SSL握手请求转发身份认证模块,用户的请求通过认证后,由客户端安全检测模块对远程接入客户机进行安全监测,通过安全监测后,由请求处理模块对用户请求进行分类处理;对访问内部局域网的请求,则转向访问控制模块,判断为有权限的访问请求,则根据权限,进入内部局域网的不同服务平台。本发明提供了多层次的安全防护手段,能更好消除终端机器的接入给内部局域网带来的安全隐患。本发明部署和维护成本低,应用方便,有良好的市场推广前景。
文档编号H04L29/06GK101350814SQ20081004589
公开日2009年1月21日 申请日期2008年8月26日 优先权日2008年8月26日
发明者何志平, 婕 孙, 慧 罗, 雷 邹 申请人:成都卫士通信息产业股份有限公司