CN100411414C - 网络安全设备远程安全拨入的方法及其系统 - Google Patents
网络安全设备远程安全拨入的方法及其系统 Download PDFInfo
- Publication number
- CN100411414C CN100411414C CNB021556881A CN02155688A CN100411414C CN 100411414 C CN100411414 C CN 100411414C CN B021556881 A CNB021556881 A CN B021556881A CN 02155688 A CN02155688 A CN 02155688A CN 100411414 C CN100411414 C CN 100411414C
- Authority
- CN
- China
- Prior art keywords
- security device
- network security
- ppp
- remote
- telesecurity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种网络安全设备远程安全拨入的方法及其系统,网络安全设备根据远程支持功能的启动状态允许与远程服务端建立连接;远程服务端通过拨号方式与网络安全设备通信;网络安全设备与远程服务端建立PPP连接并建立加密通信隧道。该系统至少包括:管理终端与网络安全设备连接,用于控制该网络安全设备远程支持功能的开启或关闭;网络安全设备连接到公共电信网,用于与远程服务端通信;远程服务端连接到公共电信网,用于登录该网络安全设备,并提供技术支持服务。本发明实现了对网络安全设备“远程支持”功能,技术人员不亲临现场即可服务;而且,采用的安全加密隧道进行通信,防止了信息被窃听,保证了网络安全设备的安全。
Description
技术领域
本发明涉及一种网络安全设备远程安全拨入的方法及其系统,特别是一种网络安全设备远程拨入可控,并且该网络安全设备通过加密通信隧道与远程服务端进行交互的方法以及实现该方法的系统,属于网络安全技术领域。
背景技术
目前,许多网络安全设备,例如防火墙,在实际应用中,当用户需要做高级技术支持时,往往需要技术支持人员亲临用户现场,这样就增加了安全设备厂商和用户的服务费用。
如果直接通过“远程登录”(一种用于远程联接服务的标准协议或者实现此协议的软件,简称为:Telnet)进行“远程支持”,又容易被黑客在互联网上窃听到密码,使安全设备本身的安全性大打折扣。尤其是一些安全设备只在内部网使用,没有公网的IP地址,利用telnet进行远程支持就不可能实现了。
有些设备虽然提供了拨入服务的支持,但数据以明文方式进行传输,很不安全,不适用于安全设备。
因此,亟需提供一种适用于网络安全设备的方便、快捷又经济的“远程支持”功能。
发明内容:
本发明的主要目的在于提供一种网络安全设备远程安全拨入的方法及其系统,实现对网络安全设备在安全通信基础上的方便、快捷、经济的“远程支持”功能,解决目前对安全设备的高级技术支持费用昂贵的问题。
本发明的又一目的在于提供一种网络安全设备远程安全拨入的方法及其系统,可防止信息被窃听,保障网络设备远程访问的安全。
本发明是通过以下技术方案实现的:
一种网络安全设备远程安全拨入的方法,至少包括:
步骤1:网络安全设备根据远程支持功能的启动状态允许与远程服务端建立连接,所述远程支持功能的启动状态由管理终端进行开启或关闭;
步骤2:远程服务端通过拨号方式与网络安全设备通信;
步骤3:网络安全设备与远程服务端建立PPP连接并建立加密通信隧道。
在上述的步骤1之前,与网络安全设备连接的管理终端首先对网络安全设备远程支持功能进行设定,开启或关闭该网络安全设备远程支持功能。
上述步骤1的具体处理过程具体包括:
步骤11:判断网络安全设备的远程支持功能是否启动;如果未启动,则执行步骤14;
步骤12:如果网络安全设备的远程支持功能已启动,则增加一条包过滤规则,并且允许与远程服务端PPP建立连接。
步骤13:打开远程拨号的侦听功能;执行步骤16;
步骤14:删除与远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接;
步骤15:关闭远程拨号的侦听功能;
步骤16:结束。
上述步骤3的处理过程具体包括:
步骤31:侦听远程PPP拨入请求;
步骤32:网络安全设备的PPP服务模块自动响应该请求,并协商身份验证协议;
步骤33:根据协商的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证未通过,则丢弃该拨号请求包,执行步骤31;
步骤34:如果验证通过,建立和远程主机的PPP连接;
步骤35:建立安全通信隧道;
步骤36:协商加密算法,进行远程登录用户身份认证;如果认证不成功,则执行步骤35;
步骤37:建立加密通信隧道。
上述的身份验证协议为密码鉴定协议(Password AuthenticationProtocol,简称PAP协议)或握手鉴定协议(Challenge Handshake andAuthentication Protocol,简称CHAP协议)或微软握手鉴定协议(MicroSoftChallenge Handshake and Authentication Protocol,简称MSCHAP协议);安全通信隧道至少采用点对点隧道协议(Point-to-Point TunnelingProtocol,简称PPTP协议)或第二层隧道协议(Layer 2 TunnelingProtocol,简称L2TP协议)或安全命令解释程序(Secure Shell,简称SSH)建立;建立加密通信隧道时通过RSA(Rivest-Shamir-Adleman)算法或数字签名算法(Digital Signature Algorithm,简称DSA)协议认证远程用户。
一种网络安全设备远程安全拨入的系统,至少包括:管理终端、网络安全设备和远程服务端;其中,
该管理终端与网络安全设备连接,用于控制该网络安全设备远程支持功能的开启或关闭;
该网络安全设备连接到公共电信网,用于与远程服务端通信;
该远程服务端连接到公共电信网,用于登录该网络安全设备,并提供技术支持服务。
所述的网络安全设备设有第一通信接口,管理终端通过该第一通信接口与网络安全设备连接;该网络安全设备还设有第二通信接口,该网络安全设备通过连接到该第二通信接口的设备端调制解调器连接到公共电信网。该远程服务端通过与其连接的拨入端设备调制解调器连接到公共电信网。
所述的网络安全设备的远程支持功能通过设在该网络安全设备的远程拨入PPP服务和安全登录服务模块实现。网络安全设备远程支持功能的开启或关闭,包括:远程拨入PPP服务和安全登录服务模块判断管理终端设定的启动状态;如果已经启动,该模块增加一条包过滤规则,并且允许特定的远程服务端建立PPP连接,然后,打开网络安全设备的拨号侦听功能;如果不是,则删除允许特定远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接,关闭拨号侦听功能。
远程拨入PPP服务和安全登录服务模块用于对远程拨入行为进行检测,自动响应,身份验证以及建立连接;具体操作为:
远程拨入PPP服务和安全登录服务模块侦听PPP远程拨入请求,并自动响应该请求,然后协商采用的身份验证协议,并根据协商好的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证通过,则建立和远程服务端的PPP连接;采用相应的协议建立安全通信隧道,然后再进一步与远程服务端协商加密算法,进行远程服务端的身份认证;认证成功则建立加密通信隧道,否则重新建立安全通信隧道;如果验证不通过,则丢弃拨号请求包,继续侦听PPP远程拨入请求。
所述的身份验证协议为PAP协议或CHAP协议或MSCHAP协议;建立安全通信隧道的协议为PPTP协议或L2TP或SSH协议;建立加密通信隧道所采用的认证协议为:RSA认证协议或DSA认证协议。
本发明通过实现对网络安全设备进行方便、快捷又经济的“远程支持”功能,技术支持人员不必亲临现场,减少了安全设备厂和用户的服务费用。而且,由于在本技术方案中采用了安全加密隧道进行通信,可防止信息被窃听,保证了网络安全设备的安全。
附图说明:
图1为本发明开启或关闭远程支持功能的流程图;
图2为本发明网络安全设备与远程服务端建立PPP连接并建立加密通信隧道的流程图;
图3为本发明的系统结构示意图。
具体实施方式:
以下通过具体的实施例和附图对本发明做详细的说明:
一种网络安全设备远程安全拨入的方法,至少包括:
首先,管理终端与网络安全设备连接,控制该网络安全设备远程支持功能的开启或关闭。在该网络安全设备远程支持功能的开启或关闭状态下,进行以下步骤:
步骤1:网络安全设备根据远程支持功能的启动状态允许与远程服务端建立连接;
具体处理过程具体参见图1:
步骤11:判断网络安全设备的远程支持功能是否启动;如果未启动,则执行步骤14;
步骤12:如果网络安全设备的远程支持功能已启动,则增加一条包过滤规则,并且允许与远程服务端PPP建立连接。
步骤13:打开远程拨号的侦听功能;执行步骤16;
步骤14:删除与远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接;
步骤15:关闭远程拨号的侦听功能;
步骤16:结束;
步骤2:远程服务端通过拨号方式与网络安全设备通信;
步骤3:网络安全设备与远程服务端建立PPP连接并建立加密通信隧道。
远程技术支持人员通过管理员给的合法帐号和电话号码以独占方式远程拨入网络安全设备(网络安全设备同一时间只允许一个远程拨入连接),然后自动建立一条加密通讯隧道来进行网络安全设备的访问和管理。当远程支持结束时,管理员可以关闭此功能,以保证网络安全设备的安全。具体的步骤参见图2:
步骤31:侦听远程PPP拨入请求;
步骤32:网络安全设备的PPP服务模块自动响应该请求,并协商身份验证协议,是使用PAP协议,或是使用CHAP协议,或是使用MSCHAP协议;
步骤33:根据协商的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证未通过,则丢弃该拨号请求包,执行步骤31;
步骤34:如果验证通过,则建立和远程主机的PPP连接;
步骤35:建立安全通信隧道;
步骤36:协商加密算法,进行远程登录用户身份认证;如果认证不成功,则执行步骤35;
步骤37:建立加密通信隧道。
本发明在建立安全通信隧道时,使用以一对互补的公私数字“密钥”为基础的RSA和DSA认证协议来认证远程用户。私钥只存储在可信机器上。
一种网络安全设备远程安全拨入的系统,至少包括:管理终端、网络安全设备和远程服务端;其中,
网络安全设备设有第一通信接口、第二通信接口。管理终端通过该第一通信接口与网络安全设备连接,用于控制该网络安全设备远程支持功能的开启或关闭;
该网络安全设备通过连接到该第二通信接口的设备端调制解调器连接到公共电信网,用于与远程服务端通信;
该远程服务端通过与其连接的拨入端设备调制解调器连接到公共电信网,用于登录该网络安全设备,并提供技术支持服务。
该系统的结构图参见图3:
网络安全设备上的串口1与Windows超级终端连接,管理员在超级终端控制防火墙的“远程支持”功能的开启或关闭。网络安全设备上的串口2与可以自动应答的调制解调器(MODEM)连接,接收调制解调器的信号;Windows远程拨号机(远程技术支持人员一方)与调制解调器连接。其中,网络安全设备包括远程拨入PPP服务和安全登录服务模块,判断管理终端设定的启动状态;如果已经启动,该模块增加一条包过滤规则,并且允许特定的远程服务端建立PPP连接,然后,打开网络安全设备的拨号侦听功能;如果不是,则删除允许特定远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接,关闭拨号侦听功能。
远程拨入PPP服务和安全登录服务模块用于对远程拨入行为进行检测,自动响应,身份验证以及建立连接;具体如下:
远程拨入PPP服务和安全登录服务模块侦听PPP远程拨入请求,并自动响应该请求,然后协商采用的身份验证协议,并根据协商好的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证通过,则建立和远程服务端的PPP连接;采用相应的协议建立安全通信隧道,然后再进一步与远程服务端协商加密算法,进行远程服务端的身份认证;认证成功则建立加密通信隧道,否则重新建立安全通信隧道;如果验证不通过,则丢弃拨号请求包,继续侦听PPP远程拨入请求。
拨入用户身份验证可采用PAP、CHAP和MSCHAP等协议;登录服务器软件模块,采用点到点隧道协议(PPTP)、第二层隧道协议(L2TP)、或者SSH等协议来建立安全通信隧道的加密模块。
网络安全设备在正常工作时,网络安全设备的拨入PPP服务和安全登录服务器的侦听端口是关闭的,即:远程支持功能是关闭的。网络安全设备有一条安全规则阻断所有试图访问远程登录服务端口的连接,同时,网络安全设备的串口2未接modem。只有管理员能开启“远程支持功能”。网络安全设备需要远程支持时,管理员在串口2上连接可以“自动应答”的调制解调器,在调制解调器上接电话线。将电话号码和拨入口令(即后面所称的合法账号)告诉远程技术支持人员。然后,管理员利用超级终端从防火墙的串口1登录到网络安全设备,开启该设备的远程拨入PPP服务和安全登录服务,该网络安全设备会自动添加一条安全规则,允许特定远程主机访问远程登录服务端口。
最后所应说明的是:以上实施例仅用以说明本发明而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (15)
1. 一种网络安全设备远程安全拨入的方法,至少包括:
步骤1:网络安全设备根据远程支持功能的启动状态允许与远程服务端建立连接,所述远程支持功能的启动状态由管理终端进行开启或关闭;
步骤2:远程服务端通过拨号方式与网络安全设备通信;
步骤3:网络安全设备与远程服务端建立PPP连接并建立加密通信隧道。
2. 根据权利要求1所述的网络安全设备远程安全拨入的方法,其特征在于:步骤1具体包括:
步骤11:判断网络安全设备的远程支持功能是否启动;如果未启动,则执行步骤14;
步骤12:如果网络安全设备的远程支持功能已启动,则增加一条包过滤规则,并且允许与远程服务端PPP建立连接;
步骤13:打开远程拨号的侦听功能;执行步骤16;
步骤14:删除与远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接;
步骤15:关闭远程拨号的侦听功能;
步骤16结束。
3. 根据权利要求1所述的网络安全设备远程安全拨入的方法,其特征在于:步骤3具体包括:
步骤31:侦听远程PPP拨入请求;
步骤32:网络安全设备的PPP服务模块自动响应该请求,并协商身份验证协议;
步骤33:根据协商的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证未通过,则丢弃该远程PPP拨入请求,执行步骤31;
步骤34:如果验证通过,建立和远程主机的PPP连接;
步骤35:则建立安全通信隧道;
步骤36:协商加密算法,进行远程登录用户身份认证;如果认证不成功,则执行步骤35;
步骤37:建立加密通信隧道。
4. 根据权利要求3所述的网络安全设备远程安全拨入的方法,其特征在于:所述的身份验证协议为PAP协议或CHAP协议或MSCHAP协议。
5. 根据权利要求3所述的网络安全设备远程安全拨入的方法,其特征在于:所述的安全通信隧道至少采用PPTP协议或L2TP协议或SSH协议建立。
6. 根据权利要求3所述的网络安全设备远程安全拨入的方法,其特征在于:建立加密通信隧道的具体方法为:以RSA或DSA协议认证远程用户。
7. 根据权利要求1所述的网络安全设备远程安全拨入的方法,其特征在于:在步骤1之前,管理终端与网络安全设备连接,控制该网络安全设备远程支持功能的开启或关闭。
8. 一种网络安全设备远程安全拨入的系统,其特征在于:该系统至少包括:管理终端、网络安全设备和远程服务端;其中,
该管理终端与网络安全设备连接,用于控制该网络安全设备远程支持功能的开启或关闭;
该网络安全设备连接到公共电信网,用于与远程服务端通信;
该远程服务端连接到公共电信网,用于登录该网络安全设备,并提供技术支持服务;
所述的网络安全设备的远程支持功能通过设在该网络安全设备的远程拨入PPP服务和安全登录服务模块实现。
9. 根据权利要求8所述的网络安全设备远程安全拨入的系统,其特征在于:所述的网络安全设备设有第一通信接口,管理终端通过该第一通信接口与网络安全设备连接;该网络安全设备还设有第二通信接口,该网络安全设备通过连接到该第二通信接口的设备端调制解调器连接到公共电信网。
10. 根据权利要求8所述的网络安全设备远程安全拨入的系统,其特征在于:该远程服务端通过与其连接的拨入端设备调制解调器连接到公共电信网。
11. 根据权利要求8或9或10所述的网络安全设备远程安全拨入的系统,其特征在于:网络安全设备远程支持功能的开启或关闭包括:远程拨入PPP服务和安全登录服务模块判断管理终端设定的启动状态;如果已经启动,该模块增加一条包过滤规则,并且允许特定的远程服务端建立PPP连接,然后,打开网络安全设备的拨号侦听功能;如果未启动,则删除允许特定远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接,关闭拨号侦听功能。
12. 根据权利要求8所述的网络安全设备远程安全拨入的系统,其特征在于:远程拨入PPP服务和安全登录服务模块用于对远程拨入行为进行检测,自动响应,身份验证以及建立连接;具体如下:
远程拨入PPP服务和安全登录服务模块侦听PPP远程拨入请求,并自动响应该请求,然后协商采用的身份验证协议,并根据协商好的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证通过,则建立和远程服务端的PPP连接;采用相应的协议建立安全通信隧道,然后再进一步与远程服务端协商加密算法,进行远程服务端的身份认证;认证成功则建立加密通信隧道,否则重新建立安全通信隧道;如果验证不通过,则丢弃拨号请求包,继续侦听PPP远程拨入请求。
13. 根据权利要求12所述的网络安全设备远程安全拨入的系统,其特征在于:所述的身份验证协议为PAP协议或CHAP协议或MSCHAP协议。
14. 根据权利要求12所述的网络安全设备远程安全拨入的系统,其特征在于:建立安全通信隧道的协议为PPTP协议或L2TP或SSH协议。
15. 根据权利要求12所述的网络安全设备远程安全拨入的系统,其特征在于:建立加密通信隧道所采用的认证协议为:RSA认证协议或DSA认证协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021556881A CN100411414C (zh) | 2002-12-13 | 2002-12-13 | 网络安全设备远程安全拨入的方法及其系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021556881A CN100411414C (zh) | 2002-12-13 | 2002-12-13 | 网络安全设备远程安全拨入的方法及其系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1509055A CN1509055A (zh) | 2004-06-30 |
| CN100411414C true CN100411414C (zh) | 2008-08-13 |
Family
ID=34236031
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021556881A Expired - Fee Related CN100411414C (zh) | 2002-12-13 | 2002-12-13 | 网络安全设备远程安全拨入的方法及其系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100411414C (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5666534A (en) * | 1993-06-29 | 1997-09-09 | Bull Hn Information Systems Inc. | Method and appartus for use by a host system for mechanizing highly configurable capabilities in carrying out remote support for such system |
| JPH11167504A (ja) * | 1997-12-03 | 1999-06-22 | Mitsubishi Electric Corp | サーバの遠隔保守管理方式 |
| WO2001065797A2 (en) * | 2000-03-03 | 2001-09-07 | Ventura Paul A | High speed, high security remote access system |
-
2002
- 2002-12-13 CN CNB021556881A patent/CN100411414C/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5666534A (en) * | 1993-06-29 | 1997-09-09 | Bull Hn Information Systems Inc. | Method and appartus for use by a host system for mechanizing highly configurable capabilities in carrying out remote support for such system |
| JPH11167504A (ja) * | 1997-12-03 | 1999-06-22 | Mitsubishi Electric Corp | サーバの遠隔保守管理方式 |
| WO2001065797A2 (en) * | 2000-03-03 | 2001-09-07 | Ventura Paul A | High speed, high security remote access system |
Non-Patent Citations (4)
| Title |
|---|
| 基于隧道技术实现的网络安全. 郑枫,俞桂平.计算机应用与软件,第9期. 2000 |
| 基于隧道技术实现的网络安全. 郑枫,俞桂平.计算机应用与软件,第9期. 2000 * |
| 网络通信中的运程接入技术. 周奕.电力系统通信,第3卷. 2002 |
| 网络通信中的运程接入技术. 周奕.电力系统通信,第3卷. 2002 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1509055A (zh) | 2004-06-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| US8561139B2 (en) | Method and appartus for network security using a router based authentication | |
| KR100645512B1 (ko) | 통신 시스템에서 네트워크 접속에 대한 사용자 인증 장치및 그 방법 | |
| US7142851B2 (en) | Technique for secure wireless LAN access | |
| EP1301006B1 (en) | Granular authorization for network user sessions | |
| US8762726B2 (en) | System and method for secure access | |
| US20050076198A1 (en) | Authentication system | |
| WO2000062519A9 (en) | Built-in manufacturer's certificates for a cable telephony adapter to provide device and service certification | |
| BRPI0315078B1 (pt) | Dispositivo de segurança resistente à violação, e, terminal de usuário | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| US20050081066A1 (en) | Providing credentials | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| EP1075748B1 (en) | Method, arrangement and apparatus for authentication | |
| JPWO2011111842A1 (ja) | Vpnによる秘匿通信方法、そのシステム、そのプログラム、並びに、そのプログラムの記録媒体 | |
| EP3923540A1 (en) | Enhanced privacy-preserving access to a vpn service by multiple network address modifications | |
| CN101621503A (zh) | 应用于虚拟专用网络架构下的身份识别系统与方法 | |
| CN100411414C (zh) | 网络安全设备远程安全拨入的方法及其系统 | |
| JPH11203248A (ja) | 認証装置、および、そのプログラムを記録した記録媒体 | |
| JPH11331181A (ja) | ネットワーク端末認証装置 | |
| US7376837B1 (en) | Built-in manufacturer's certificates for a cable telephony adapter to provide device and service certification | |
| Cisco | Configuring Authentication | |
| Cisco | Configuring Authentication | |
| Cisco | Configuring Authentication | |
| JP2001211479A (ja) | データ通信システム | |
| CN111079109A (zh) | 兼容多浏览器本地安全授权登录方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080813 Termination date: 20201213 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |