CN101350814A - 一种安全远程接入技术及其网关 - Google Patents
一种安全远程接入技术及其网关 Download PDFInfo
- Publication number
- CN101350814A CN101350814A CNA200810045896XA CN200810045896A CN101350814A CN 101350814 A CN101350814 A CN 101350814A CN A200810045896X A CNA200810045896X A CN A200810045896XA CN 200810045896 A CN200810045896 A CN 200810045896A CN 101350814 A CN101350814 A CN 101350814A
- Authority
- CN
- China
- Prior art keywords
- request
- module
- user
- authentication
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种安全远程接入技术及其安全远程接入网关,包括如下步骤:SSL监听服务模块将来自广域网的SSL握手请求转发身份认证模块,用户的请求通过认证后,由客户端安全检测模块对远程接入客户机进行安全监测,通过安全监测后,由请求处理模块对用户请求进行分类处理;对访问内部局域网的请求,则转向访问控制模块,判断为有权限的访问请求,则根据权限,进入内部局域网的不同服务平台。本发明提供了多层次的安全防护手段,能更好消除终端机器的接入给内部局域网带来的安全隐患。本发明部署和维护成本低,应用方便,有良好的市场推广前景。
Description
技术领域
本发明涉及信息安全领域,尤其是一种用于公开网络的安全远程接入技术及其网关。
背景技术
安全远程接入现在是目前热门研究课题。随着企业业务的扩展,分支机构不断增多,渠道、合作伙伴、远程或移动办公的需求也在不断的增加。一个企业如果能保证员工在异地也能像在办公室里一样方便接入企业内网并及时准确地获得所需的资料信息,将大大提高企业的工作效率。
传统的远程接入方式是使用专网,近几年来企业逐渐趋向采用比较新的VPN技术作为远程访问和网络互联的解决方案,VPN是Virtual Private Network的缩写,是指在公共的互连网络中建立私有专用网络,也称为“虚拟专用网”,因为数据被加密后仍然在公共网络中传播,而不是真正在物理上隔离的专用网。由于使用公网传输,与专线的费用相比VPN的价格低廉,可有效的为企业节约成本。VPN具有安全、灵活、以及可扩展性强等特点,能充分满足企业分支机构、移动办公安全通信的需求,因此最近几年得到快速的应用和发展。
申请日为2002.12.26,申请号为“02128102.5”,名称为《代理模式安全远程接入技术》公开了一种代理模式、PCI接口、无缝嵌入WIN2000/XP***内核的一种安全远程接入技术,具体说是在IP层实现VPN的一种技术。该发明解决了建立安全远程接入隧道的问题,但是配置复杂,并且客户端需要安装复杂的软件,而且当用户数量增加时,VPN的管理难度将呈几何级数增长。因此实际应用中有部署和维护成本高的问题。
申请日为2003.9.29,申请号为03151410.3,名称为《实现WEB应用安全加固的快速部署方法》公开了一种用SSL加固访问WEB服务的方法,但是没有实现加固其他C/S应用,只能用于保护后台WEB服务。
发明内容
本发明的目的是:提供一种安全、方便、易学,并且部署和维护费用便宜的安全远程接入技术。
本发明的另一目的是提供一种安全远程接入网关。
本发明的目的是通过实施下述技术方案来实现的:
一种安全远程接入技术,其特征在于,包括如下步骤:
SSL监听服务模块侦听到来自广域网的SSL握手请求后,转发用户的身份认证请求,以及处理所有的https数据包;
身份认证模块对上述转发的请求进行身份认证,通过认证后,进入下一步,否则拒绝用户请求;
由客户端安全检测模块对远程接入客户机进行安全监测,通过安全监测后,进入下一步,否则拒绝用户请求;
通过请求处理模块对用户请求进行分类处理:对于Web应用请求,则转入WEB应用处理模块,进入WEB页面;对访问内部局域网的请求,则转向访问控制模块;
访问控制模块通过从策略库中获取用户的访问策略,对用户请求进行访问控制判断,判断为无权限的访问请求,拒绝用户请求,判断为有权限的访问请求,则转向内部应用处理模块,针对用户提供的不同权限,进入内部局域网的不同服务平台。
其中上述用户的身份认证请求是进入第三方认证模块,通过认证后,进入客户端安全检测模块,否则拒绝用户请求。
本发明所提供的安全远程接入网关,包括SSL监听服务模块、身份认证模块、客户端安全检测模块、请求处理模块、策略数据库、WEB应用处理模块、访问控制模块、应用处理模块;
所述SSL监听服务模块,用于侦听来自广域网的SSL握手请求,以及处理所有的https数据包;
所述身份认证模块,用于对用户的身份进行验证;也可以采用第三方认证模块,用于对用户的身份进行验证。
所述客户端安全检测模块,负责对远程接入客户机进行安全扫描;
所述请求处理模块,用户请求进行处理,如果是Web应用请求,直接转向WEB应用处理模块,如果是访问内部局域网,则转向访问控制模块;
WEB应用处理模块,根据用户请求,转到WEB应用页面;
策略数据库,存放接入内部局域网的访问控制策略;
访问控制模块,从策略库中获取用户的访问策略,对请求权限进行访问控制判断;
应用处理模块,根据客户的权限,对访问局域网的请求和后台服务的响应进行处理和转发。
只需要在局域网和广域网交接的地方安装部署本发明网关,无需在客户端安装任何软件,远程用户就可以利用浏览器安全接入局域网。本发明在建立强安全性VPN隧道的基础上,提供了多层次的安全防护手段,支持更细粒度的身份认证、授权和访问控制,同时结合终端机器的安全检测,能更好消除终端机器的接入给内部局域网带来的安全隐患。本发明具有和在IP层实现VPN同样的安全强度,却有更好更细的对远程接入用户的控制,无需客户端软件,部署和维护成本低,应用方便,有良好的市场推广前景。
附图说明
图示为本发明的功能框图。
具体实施方式
如图所示,安全远程接入***由客户机、安全远程接入网关以及第三方认证模块组成。客户机和安全远程接入网关的外网口都是与广域网相连,安全远程接入网关的内网口和内部局域网相连。其中安全远程网关由以下模块组成:
(a):SSL监听服务模块,负责侦听来自广域网的SSL握手请求,以及处理所有的https数据包;
(b):身份认证模块,对用户的身份进行验证,可以通过扩展接入第三方认证模块5。
(c):客户端安全检测模块,负责对远程接入客户机进行安全扫描。
(d):请求处理模块,主要是对请求进行处理,如果是Web应用请求,直接转向WEB应用处理模块,如果是访问内部局域网应用,则直接转向访问控制模块。
(e):策略数据库,存放了接入内部局域网的访问控制策略。
(f):WEB应用处理模块,对访问web页面的请求进行处理。
(g):访问控制模块,从策略库中获取用户的访问策略,对请求进行访问控制判断。
(h):应用处理模块,对访问后台服务的请求和后台服务的响应进行必要的处理和转发。
本发明实现安全远程接入的具体步骤如下:
第一步:安全远程接入网关分配广域网可以访问的地址,当远程客户机访问内部局域网资源时,首先打开浏览器(1a),通过HTTPS通道访问安全远程接入网关的WEB应用。浏览器和安全远程接入网关间建立安全HTTPS通道。
第二步:HTTPS通道建立后,首先要求用户登录,远程用户必须提交合法的登录帐号和口令;SSL监听服务模块侦听来自广域网的SSL握手请求,转发用户的身份认证请求,以及处理所有的https数据包。
第三步:安全远程接入网关的身份认证模块接收到远程客户机的登录请求后,对用户的身份进行验证。如果身份验证失败,则直接拒绝该用户的登录***行为,否则进入下一步。
第四步:客户端安全检测模块通过网页自动下载安全客户端检测模块在客户端运行,对客户机按照指定策略进行安全监测。安全监测如果失败,则直接拒绝用户的登录,否则进入下一步。
第五步:安全远程接入网关为该用户建立会话信息,该用户登录到***,对该用户后续的请求通过请求处理模块进行处理。请求处理模块支持处理的请求主要包括页面访问请求和后台应用访问请求。如果是页面请求,就直接将请求转向WEB应用模块进行处理,如果是后台服务请求,就直接将请求转向访问控制处理模块。
第六步:访问控制模块通过从策略库中获取用户的访问策略,对用户请求进行访问控制判断,判断为无权限的访问请求,拒绝用户请求,判断为有权限的访问请求,则转向内部应用处理模块,针对用户提供的不同权限,进入内部局域网的不同服务平台。
图示中安全远程接入网关通过页面自动下传给客户端Agent模块,是通过客户机浏览器运行在客户机的小程序。小程序随着登录会话的建立开始生命周期,随着浏览器的关闭退出***。除了访问内部局域网WEB资源以外的其他应用提供客户端处理功能,能支持基于TCP/IP的C/S应用的远程安全访问。
采用本发明的安全远程接入网关和技术,其具有以下特点:基于SSL技术,并且利用安全加密算法模块对SSL通道算法进行加固;无须安装客户端软件,直接通过浏览器接入即可;支持多种身份认证方式;支持对远程接入用户的细粒度控制,可以对用户访问内部资源的权限进行控制;支持远程用户接入检测和退出清除功能;支持基于TCP/IP技术的多种应用,包括WEB应用、FTP、网络邻居、邮件等应用。其部署和维护成本低,应用方便,有良好的市场推广前景。
需要说明的是:虽然上述实施例已经详细描述了本发明的结构,但本发明并不限于上述实施例,凡是本领域技术人员从上述实施例中不经过创造性劳动就可以想到的替换结构,均属于本发明的保护范围。
Claims (4)
1、一种安全远程接入技术,其特征在于,包括如下步骤:
SSL监听服务模块侦听到来自广域网的SSL握手请求后,转发用户的身份认证请求,以及处理所有的https数据包;
身份认证模块对上述转发的请求进行身份认证,通过认证后,进入下一步,否则拒绝用户请求;
由客户端安全检测模块对远程接入客户机进行安全监测,通过安全监测后,进入下一步,否则拒绝用户请求;
通过请求处理模块对用户请求进行分类处理:对于Web应用请求,则转入WEB应用处理模块,进入WEB页面;对访问内部局域网的请求,则转向访问控制模块;
访问控制模块通过从策略库中获取用户的访问策略,对用户请求进行访问控制判断,判断为无权限的访问请求,拒绝用户请求,判断为有权限的访问请求,则转向内部应用处理模块,针对用户提供的不同权限,进入内部局域网的不同服务平台。
2、如权利要求1所述的一种安全远程接入技术,其特征在于:用户的身份认证请求进入第三方认证模块,通过认证后,进入客户端安全检测模块,否则拒绝用户请求。
3、一种实现权利要求1或2所述的一种安全远程接入网关,其特征在于,包括SSL监听服务模块、身份认证模块、客户端安全检测模块、请求处理模块、策略数据库、WEB应用处理模块、访问控制模块、应用处理模块;
所述SSL监听服务模块,用于侦听来自广域网的SSL握手请求,以及处理所有的https数据包;
所述身份认证模块,用于对用户的身份进行验证;
所述客户端安全检测模块,负责对远程接入客户机进行安全扫描;
所述请求处理模块,用户请求进行处理,如果是Web应用请求,直接转向WEB应用处理模块,如果是访问内部局域网,则转向访问控制模块;
WEB应用处理模块,根据用户请求,转到WEB应用页面;
策略数据库,存放接入内部局域网的访问控制策略;
访问控制模块,从策略库中获取用户的访问策略,对请求权限进行访问控制判断;
应用处理模块,根据客户的权限,对访问局域网的请求和后台服务的响应进行处理和转发。
4、一种实现权利要求1或2所述的一种安全远程接入网关,其特征在于,所述身份认证模块为第三方认证模块,用于对用户的身份进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA200810045896XA CN101350814A (zh) | 2008-08-26 | 2008-08-26 | 一种安全远程接入技术及其网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA200810045896XA CN101350814A (zh) | 2008-08-26 | 2008-08-26 | 一种安全远程接入技术及其网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101350814A true CN101350814A (zh) | 2009-01-21 |
Family
ID=40269391
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA200810045896XA Pending CN101350814A (zh) | 2008-08-26 | 2008-08-26 | 一种安全远程接入技术及其网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101350814A (zh) |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN101827090A (zh) * | 2010-03-25 | 2010-09-08 | 浙江中烟工业有限责任公司 | 外部用户登录备份*** |
| CN102546794A (zh) * | 2011-12-30 | 2012-07-04 | 华为技术有限公司 | 浏览器客户端与后端服务器直通的方法、网关和通信*** |
| CN103634396A (zh) * | 2013-11-28 | 2014-03-12 | 武汉钢铁(集团)公司 | 一种访问内网Web页面服务数据的方法、网关设备及*** |
| CN103716325A (zh) * | 2013-12-31 | 2014-04-09 | 网神信息技术(北京)股份有限公司 | 访问网络的安全控制方法、装置及*** |
| CN103905581A (zh) * | 2014-02-26 | 2014-07-02 | 曾宪钊 | 基于行为差异性的dns高速解析方案和配套的抗流量类攻击安全方案 |
| CN103945010A (zh) * | 2014-05-13 | 2014-07-23 | 国家电网公司 | 支持对站端主机的远程浏览及维护的扩展组件 |
| CN104904178A (zh) * | 2012-10-15 | 2015-09-09 | 思杰***有限公司 | 提供虚拟化专用网络隧道 |
| CN104901928A (zh) * | 2014-03-07 | 2015-09-09 | ***通信集团浙江有限公司 | 一种数据交互方法、装置及*** |
| CN105429807A (zh) * | 2015-12-29 | 2016-03-23 | Tcl集团股份有限公司 | 局域网资源的访问方法及装置 |
| CN105721481A (zh) * | 2016-03-02 | 2016-06-29 | 清华大学 | 一种基于透明计算的网络接入***及方法 |
| US9858428B2 (en) | 2012-10-16 | 2018-01-02 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
| US9948657B2 (en) | 2013-03-29 | 2018-04-17 | Citrix Systems, Inc. | Providing an enterprise application store |
| US9973489B2 (en) | 2012-10-15 | 2018-05-15 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
| US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
| US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US10044757B2 (en) | 2011-10-11 | 2018-08-07 | Citrix Systems, Inc. | Secure execution of enterprise applications on mobile devices |
| US10097584B2 (en) | 2013-03-29 | 2018-10-09 | Citrix Systems, Inc. | Providing a managed browser |
| CN109347855A (zh) * | 2018-11-09 | 2019-02-15 | 南京医渡云医学技术有限公司 | 数据访问方法、装置、***、电子设计及计算机可读介质 |
| US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
| US10476885B2 (en) | 2013-03-29 | 2019-11-12 | Citrix Systems, Inc. | Application with multiple operation modes |
| CN110852611A (zh) * | 2019-11-08 | 2020-02-28 | 国网上海市电力公司 | 一种基建工程现场施工人员实时管控*** |
| US10908896B2 (en) | 2012-10-16 | 2021-02-02 | Citrix Systems, Inc. | Application wrapping for application management framework |
-
2008
- 2008-08-26 CN CNA200810045896XA patent/CN101350814A/zh active Pending
Cited By (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN101827090A (zh) * | 2010-03-25 | 2010-09-08 | 浙江中烟工业有限责任公司 | 外部用户登录备份*** |
| CN101827090B (zh) * | 2010-03-25 | 2012-10-24 | 浙江中烟工业有限责任公司 | 外部用户登录备份*** |
| US10044757B2 (en) | 2011-10-11 | 2018-08-07 | Citrix Systems, Inc. | Secure execution of enterprise applications on mobile devices |
| US11134104B2 (en) | 2011-10-11 | 2021-09-28 | Citrix Systems, Inc. | Secure execution of enterprise applications on mobile devices |
| US10469534B2 (en) | 2011-10-11 | 2019-11-05 | Citrix Systems, Inc. | Secure execution of enterprise applications on mobile devices |
| US10402546B1 (en) | 2011-10-11 | 2019-09-03 | Citrix Systems, Inc. | Secure execution of enterprise applications on mobile devices |
| US10063595B1 (en) | 2011-10-11 | 2018-08-28 | Citrix Systems, Inc. | Secure execution of enterprise applications on mobile devices |
| CN102546794A (zh) * | 2011-12-30 | 2012-07-04 | 华为技术有限公司 | 浏览器客户端与后端服务器直通的方法、网关和通信*** |
| CN104904178A (zh) * | 2012-10-15 | 2015-09-09 | 思杰***有限公司 | 提供虚拟化专用网络隧道 |
| US9973489B2 (en) | 2012-10-15 | 2018-05-15 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
| CN104904178B (zh) * | 2012-10-15 | 2018-09-25 | 思杰***有限公司 | 提供虚拟专用网络隧道的方法和设备及计算机可读介质 |
| US10545748B2 (en) | 2012-10-16 | 2020-01-28 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
| US10908896B2 (en) | 2012-10-16 | 2021-02-02 | Citrix Systems, Inc. | Application wrapping for application management framework |
| US9858428B2 (en) | 2012-10-16 | 2018-01-02 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
| US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
| US10965734B2 (en) | 2013-03-29 | 2021-03-30 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
| US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
| US10476885B2 (en) | 2013-03-29 | 2019-11-12 | Citrix Systems, Inc. | Application with multiple operation modes |
| US10701082B2 (en) | 2013-03-29 | 2020-06-30 | Citrix Systems, Inc. | Application with multiple operation modes |
| US9948657B2 (en) | 2013-03-29 | 2018-04-17 | Citrix Systems, Inc. | Providing an enterprise application store |
| US10097584B2 (en) | 2013-03-29 | 2018-10-09 | Citrix Systems, Inc. | Providing a managed browser |
| CN103634396A (zh) * | 2013-11-28 | 2014-03-12 | 武汉钢铁(集团)公司 | 一种访问内网Web页面服务数据的方法、网关设备及*** |
| CN103716325A (zh) * | 2013-12-31 | 2014-04-09 | 网神信息技术(北京)股份有限公司 | 访问网络的安全控制方法、装置及*** |
| CN103905581A (zh) * | 2014-02-26 | 2014-07-02 | 曾宪钊 | 基于行为差异性的dns高速解析方案和配套的抗流量类攻击安全方案 |
| CN104901928A (zh) * | 2014-03-07 | 2015-09-09 | ***通信集团浙江有限公司 | 一种数据交互方法、装置及*** |
| CN103945010A (zh) * | 2014-05-13 | 2014-07-23 | 国家电网公司 | 支持对站端主机的远程浏览及维护的扩展组件 |
| CN103945010B (zh) * | 2014-05-13 | 2017-06-06 | 国家电网公司 | 支持对站端主机的远程浏览及维护的扩展组件 |
| CN105429807B (zh) * | 2015-12-29 | 2019-11-29 | Tcl集团股份有限公司 | 局域网资源的访问方法及装置 |
| CN105429807A (zh) * | 2015-12-29 | 2016-03-23 | Tcl集团股份有限公司 | 局域网资源的访问方法及装置 |
| CN105721481A (zh) * | 2016-03-02 | 2016-06-29 | 清华大学 | 一种基于透明计算的网络接入***及方法 |
| CN109347855B (zh) * | 2018-11-09 | 2020-06-05 | 南京医渡云医学技术有限公司 | 数据访问方法、装置、***、电子设计及计算机可读介质 |
| CN109347855A (zh) * | 2018-11-09 | 2019-02-15 | 南京医渡云医学技术有限公司 | 数据访问方法、装置、***、电子设计及计算机可读介质 |
| CN110852611A (zh) * | 2019-11-08 | 2020-02-28 | 国网上海市电力公司 | 一种基建工程现场施工人员实时管控*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101350814A (zh) | 一种安全远程接入技术及其网关 | |
| CN104753887B (zh) | 安全管控实现方法、***及云桌面*** | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
| CN103441991A (zh) | 一种移动终端安全接入平台 | |
| CN101714927B (zh) | 内网安全综合管理的网络接入控制方法 | |
| CN101651597B (zh) | 一种地址分离映射网络中IPSec-VPN的部署方法 | |
| CN101047599B (zh) | 一种分布式ssl vpn***构架方法 | |
| US8479279B2 (en) | Security policy enforcement for mobile devices connecting to a virtual private network gateway | |
| CN100401706C (zh) | 一种虚拟专网客户端的接入方法及*** | |
| CN106302371A (zh) | 一种基于用户业务***的防火墙控制方法和*** | |
| CN111385326B (zh) | 轨道交通通信*** | |
| CN106330479A (zh) | 一种设备运维方法及*** | |
| CN107046577B (zh) | 一种云混合方法以及*** | |
| CN110971622A (zh) | 一种公网应用***与内网应用***间双向访问方法及*** | |
| CN109995769B (zh) | 一种多级异构跨区域的全实时安全管控方法和*** | |
| CN106302413A (zh) | 企业内网访问方法、ios终端、中转处理方法、中转服务器 | |
| CN109165508A (zh) | 一种外部设备访问安全控制***及其控制方法 | |
| CN202652534U (zh) | 移动终端安全接入平台 | |
| CN115941236A (zh) | 配电网边缘侧零信任安全防护方法 | |
| CN104954339A (zh) | 一种电力应急抢修远程通信方法及*** | |
| Gao et al. | Research on zero-trust based network security protection for power internet of things | |
| CN109120619A (zh) | 一种计算机网络通信*** | |
| Nace | Securing Trajectory based Operations through a Zero Trust Framework in the NAS | |
| Ying et al. | Study of network architecture and IP address allocation of wireless VPN for power grid |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20090121 |