专利名称::一种安全网关客户端装置的制作方法
技术领域:
:本实用新型涉及一种客户端装置,特别涉及一种适用于计算机信息安全领域的安全网关客户端装置。
背景技术:
:随着网络的快速发展,跨网络的应用访问已经成为一种趋势,而保障在跨网络过程中的数据安全性,成为跨网络应用访问面临的一个重要问题。然而,传统的设置在网络中的网关,其网关用户可以通过探测、侦听等手端获取目标资料的地址,造成安全的隐患,同时也给用户带来了不便,无法保证跨网络信息传输的安全、保密和完整,实现网关客户端与服务器之间身份的有效认证、授权和数据传输安全。因此,特别需要一种安全网关客户端装置,保证跨网络信息传输的安全、保密和完整,实现网关客户端与服务器之间身份的有效认证、授权和数据传输安全。
实用新型内容本实用新型所要解决的技术问题在于提供一种安全网关客户端装置,弥补现有网关的不足,保证用户的安全登录及数据的安全性,实现资源整合、信息安全共享,保证各类网络业务的顺利开展。本实用新型所要解决的技术问题可以通过以下技术方案来实现-一种安全网关客户端装置,其特征在于,它包括对访问请求进行身份认证的认证模块、用于注册安全网关客户端装置的硬件信息并读取或存储相关配置的注册配置模块、用于实现数据的间接传输并避免遭到攻击的代理模块及用于提供加密算法支持并在用户访问和数据传输时对数据或消息进行加密传输的密码模块组成。所述代理模块包括重定向模块和代理访问模块。所述密码模块包括用于提供加密算法支持的密码服务模块和在用户访问和数据传输时请求所述密码服务模块提供相应加密算法对数据或消息进行加密传输的密码加密连接模块。本实用新型的安全网关客户端装置,采用重定向和代理访问相结合的访问方法,首先检测用户访问行为,根据用户行为,将用户访问重定向到客户端,客户端采用代理的方法访问网关服务器,网关服务器再去连接应用服务器,使用户可以自由访问网关保护的多个应用系统,保证了访问的安全,实现本实用新型的目的。图1为本实用新型的安全网关客户端装置的系统框图;图2为本实用新型的安全网关客户端装置的逻辑框图。具体实施方法为了使本实用新型实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本实用新型。如图1所示,一种安全网关客户端装置,它包括认证模块1、注册配置模块2、代理模块3及密码模块组成,所述密码模块包括密码服务模块41和加密连接模块42。注册配置模块2对所述安全网关客户端装置进行信息注册,配置代理模块3的代理方式、加密连接模块42的联机方式以及密码服务模块41的密码使用条件、服务种类、选择密码算法等。当用户要通过所述安全网关客户端装置访问内部应用时,首先必须通过所述安全网关客户端装置的认证模块1进行认证,通过认证的用户才能进行后续的相关操作。认证模块1采取终端认证加用户认证的综合认证模式;在注册配置模块2对所述安全网关客户端装置进行信息注册时,所述安全网关客户端装置在线时通过认证模块1进行终端认证。所述安全网关客户端装置可以通过认证模块1对安全认证服务的认证方式以及是否向应用传递等进行控制来满足用户的不同实际需要,选择安全认证服务的认证模式,有以下几种模式1、不验证,表示使用单向认证模式,用户不需要提交证书就可以与服务端建立连接;2、可选验证,表示使用单双向的可选认证模式,用户既可以提交证书也可以不提交证书都可以与服务端建立连接;用户提交的证书也必须是在安全认证服务配置的信任证书链中;3、强制验证,表示使用双向认证模式,用户必须提交有效证书才能与服务端建立连接,但安全认证服务只验证用户是否在信任链内,并不验证黑名单;此项时安全认证服务在证书配置中必须选择相应证书链才能完成双向认证功能。在认证模块l进行用户认证时采用黑名单方式,用户提交身份证书,如果是不验证方式,则直接进行访问,如果是可选验证或强制性验证则使用客户端调用黑名单列表进行比对,通过验证的用户则可以访问系统,否则拒绝访问。所述密码模块分成密码服务模块41和加密连接模块42两种方式,密码服务模块41提供多种加密算法支持,通过注册配置模块2对密码服务模块41的密码算法如通用算法、国密指定算法等进行分配或指定。当用户访问和数据传输时候,加密连接模块42向密码服务模块41请求对应的密码算法服务,对数据或消息进行加密传输,采用SSL握手阶段协商产生密钥对应用数据和IP数据包加密。如图2所示,代理模块3包括重定向模块31和代理访问模块32,重定向模块31被加载到每个进程的运行空间中,当检测到应用客户端发往应用服务器的TCP连接之后进行判断,重定向模块31将修改该TCP连接的目的地址和端口为所述安全网关客户端装置的本地服务监听端口(通常为127.0.0.1:9986),同时保存下该TCP连接原来要连接的目的地址和端口。当和本地安全网关客户端服务连接成功之后,重定向模块31立即将该TCP连接原来的目的地址发送给所述安全网关客户端装置,所述安全网关客户端装置通过代理访问模块32再去和安全网关服务器通讯,通过重定向模块31应用客户端并不知道自己连接的目标地址已经被更改了,提高了安全性能。所述安全网关客户端装置需要为每一个需要代理的应用客户端建立一个代理服务,此服务需要设置一个被代理的应用服务器的地址和端口,所有连接到此服务本地监听端口的连接都会被转发到该应用服务器上去。当代理访问模块32接收到一个新的代理连接时,它也会检测此代理连接的目标地址和端口,这里的地址可以是域名,也可以是IP地址,根据网络连接的不同,自动检测,然后搜索代理服务的代理规则配置文件,根据代理规则配置文件来取出此次代理所需要的安全网关服务器及端口,并将信息组合,发送给安全网关服务器,安全网关服务器再去连接应用服务器。注册配置模块2主要对所述安全网关客户端装置的相关参数进行注册,只有注册过的终端才能联网,该模块还对认证模块l、密码服务模块41等模块的一些基本参数进行设置。注册配置模块2的基本参数如表1所示,基本参数注册和配置决定了所述安全网关客户端装置的终端信息、代理模式、数据流向等。基本参数注册和配置是由专门的证服务页面提供,容易修改和维护。表1注册配置模块2的基本参数注册配置表<table>tableseeoriginaldocumentpage6</column></row><table><table>tableseeoriginaldocumentpage7</column></row><table>其中,连接模式有以下几种1、安全网关客户端反向代理模式该模式下,单个代理只能支持一个最终应用,其地址只能由网关决定,客户端访问的是网关的地址,如果是B/S方式,则用户需要在浏览器中使用Https访问;网络接入模式(与客户端装置配合使用)该模式下,单个代理可以支持多个应用,最终应用的地址由用户决定,客户端访问的地址就是最终应用的地址,并且无需改变原有协议。后台协议类型在反向代理模式下,后台服务的协议类型为HTTP。而在接入模式时,无需指定协议类型。本地服务IP地址对用户提供服务的地址,地址必须为网络配置中网络接口或者虚拟接口具有的地址,通常为与用户网络连接的网络接口的地址,即用户可以通过此地址访问网关服务。本地服务端口号对用户提供服务的端口号,范围从1-65535,避免使用其它协议约定的端口,如80,21,22等,建议使用443端口,443端口是https的默认端口号,即https:〃192.168.191.7:443等同于https:〃192.168.191.7。后台服务地址被系统保护的服务器地址或者域名,此地址必须是网关服务器能够访问的地址。当代理模式为TBSG接入模式时,此地址无需指定。后台服务端口号被系统保护的服务器的端口号。当代理模式为接入模式时,此端口无需指定。以上显示和描述了本实用新型的基本原理和主要特征及其优点。本行业的技术人员应该了解,本实用新型不受上述实施例的限制,上述实施例和说明书中描述的只是说明本实用新型的原理,在不脱离本实用新型精神和范围的前提下,本实用新型还会有各种变化和改进,这些变化和改进都落入要求保护的本实用新型范围内。本实用新型要求保护范围由所附的权利要求书及其等效物界定。权利要求1、一种安全网关客户端装置,其特征在于,它包括对访问请求进行身份认证的认证模块、用于注册安全网关客户端装置的硬件信息并读取或存储相关配置的注册配置模块、用于实现数据的间接传输并避免遭到攻击的代理模块及用于提供加密算法支持并在用户访问和数据传输时对数据或消息进行加密传输的密码模块组成。2、如权利要求1所述的安全网关客户端装置,其特征在于,所述代理模块包括重定向模块和代理访问模块。3、如权利要求2所述的安全网关客户端装置,其特征在于,所述重定向模块加载在每个进程的运行空间中。4、如权利要求1所述的安全网关客户端装置,其特征在于,所述密码模块包括用于提供加密算法支持的密码服务模块和在用户访问和数据传输时请求所述密码服务模块提供相应加密算法对数据或消息进行加密传输的密码加密连接模块。专利摘要本实用新型公开一种安全网关客户端装置,它包括对访问请求进行身份认证的认证模块、用于注册安全网关客户端装置的硬件信息并读取或存储相关配置的注册配置模块、用于实现数据的间接传输并避免遭到攻击的代理模块及用于提供加密算法支持并在用户访问和数据传输时对数据或消息进行加密传输的密码模块组成;采用重定向和代理访问相结合的访问方法,首先检测用户访问行为,根据用户行为,将用户访问重定向到客户端,客户端采用代理的方法访问网关服务器,网关服务器再去连接应用服务器,使用户可以自由访问网关保护的多个应用系统,保证了访问的安全,实现本实用新型的目的。文档编号H04L29/06GK201252570SQ200820152489公开日2009年6月3日申请日期2008年8月29日优先权日2008年8月29日发明者周国勇,欣李,杭强伟,欧阳满,福王,袁艺芳,翔邹,波金,兵陈申请人:公安部第三研究所