CN100576793C - 借助安全认证网关的企业网安全接入方法 - Google Patents
借助安全认证网关的企业网安全接入方法 Download PDFInfo
- Publication number
- CN100576793C CN100576793C CN200410014928A CN200410014928A CN100576793C CN 100576793 C CN100576793 C CN 100576793C CN 200410014928 A CN200410014928 A CN 200410014928A CN 200410014928 A CN200410014928 A CN 200410014928A CN 100576793 C CN100576793 C CN 100576793C
- Authority
- CN
- China
- Prior art keywords
- user
- gateway
- intranet
- certificate
- security certificate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种借助安全认证网关的企业网安全接入方法,该方法在拨号服务器、VPN设备与企业互联网之间部署一台安全认证网关,并通过要求出示用户的数字证书、到CA中心验证数字证书的有效性、生成随机数发送到用户端、用户用签名私钥进行数字签名并发送给安全认证网关、使用用户的公钥进行验签等步骤,确认合法的用户,使其安全接入内网。本发明通过实现与CA中心的有机联系,提供了一种强身份认证的方法,可以确保内网接入的安全性。与现有技术相比,本发明不仅更具安全认证的权威性,安全性明显增强,而且部署方便,可以根据需求灵活的配置和管理安全策略,实用性强,并利用了原有的拨号服务器设备和VPN设备,节约了投资。
Description
技术领域
本发明涉及一种基于PKI(Public Key Infrastructure)技术的网络安全接入方法,用于实现企业内外网络的安全接入,为远程移动办公提供安全保障。
背景技术
员工在外面出差的时候,经常需要连接到企业内网中进行远程办公(处理公文、收发电子邮件等),传统接入到内网的方式有两种:使用拨号服务器通过拨号软件接入到内网,或者使用VPN(VirtualPrivate Network虚拟专用网)设备建立VPN通道接入到内网。
使用拨号服务器的优点是部署简单、快速。但是使用拨号服务器是一种非常不安全的方式,存在如下诸多安全隐患:
●普遍存在帐号盗用现象,无法根据拨号帐号来确定用户的真实身份或作为用户抗抵赖性证据;
●由于用户数据通常是以明文的形式传输,因此很容易被攻击者截获并取得帐号、密码和通信内容等重要信息;
●拨号服务器通常接入内网,一旦和拨号服务器连接成功就可自由在内网中访问资源,是内网中最大的安全漏洞之一;
●对拨号服务器缺少统一接入认证。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。利用加密技术对经过隧道的数据进行加密,以保证数据仅被指定的发送者或接收者所了解,从而保证数据的私有性和安全性。
使用虚拟专用网技术从Internet连接到企业内网从技术上来讲是比较安全的,安全强度比使用拨号方式高的多,但是VPN技术也存在一些安全隐患:
●数据的安全性取决于加密的算法和强度,由于目前大部分VPN设备协商阶段加密算法是基于对称密钥方式,并且以IP地址标识连接的端点,这种方法存在IP欺骗攻击的可能性。而且算法的强度、密钥的长度都不符合国家有关普密的要求。
●一旦黑客侵入了远程办公计算机,便能够远程运行员工的VPN客户端软件,从而通过合法用户的身份访问公司的资源。
检索发现,申请号为01141650.5、申请日为2001.09.29的中国发明专利申请公开了一种PC客户端的安全认证方法,该方法包括:PC客户端通过用户ID号码和密码,向服务器发起登录请求;服务器根据用户ID号码和密码进行第一次认证,若认证通过,生成一个用于再次认证的字段,并随认证通过消息返回给PC客户端;当PC客户端发起呼叫时,将用户ID号码和登录时获得的再次认证的字段一起传送给媒体网关控制器;媒体网关控制器将该用户ID号码、再次认证的字段一起传送给服务器进行第二次的认证,若认证没有通过,则拒绝呼叫,否则接受呼叫返回被叫信息。本发明将呼叫和登录关联起来,较好地解决了合法已登录PC用户的安全性使用的问题,大大地增加了用户资源使用的安全性。然而,这种方法未能与CA中心(Certificate Authority)有机联系,因此不仅缺乏认证的权威性,而且依然不够安全。
发明内容
本发明的目的是针对拨号服务器或使用VPN设备接入到企业内网的安全隐患,提出借助安全认证网关的企业网安全接入方法,该方法利用PKI(pub key Infras trcture)即公共密钥基础设施安全平台来实现远程接入内网的安全认证,从而确保内网接入的安全性。
本发明的目的是这样实现的:在拨号服务器、VPN设备与企业互联网之间部署一台安全认证网关,安全认证的接入步骤如下:
1)、用户通过拨号服务器或虚拟专用网(VPN)设备发出接入企业网的IP包;
2)、安全认证网关检测到用户要接入企业内网的IP包后,要求出示用户的数字证书;
3)、安全认证网关接到用户出示的数字证书后,使用CheckCert()函数通过在线证书状态协议(OCSP)向证书授权(CA)验证数字证书的有效性;
4)、如果数字证书有效,安全认证网关生成随机数发送到用户端;
5)、用户使用自己的签名私钥对随机数进行数字签名并发送给安全认证网关;
6)、安全认证网关使用用户的公钥进行验签,确认确实是证书的持有者提交的请求,并进行权限校验;
7)、对于合法的用户,安全认证网关转发其IP包,使用户安全接入内网。
在接入之后,安全认证网关还定期检查用户的流量和令牌,当流量超过阀值或令牌不存在,则要求用户重新提交数字证书进行以上认证。
由此可见,本发明通过实现与CA中心的有机联系,使用户可以自己的签名私钥对随机数进行数字签名,继而使用用户的公钥进行验签,即采用以PKI为基础的数字签名,提供了一种强身份认证的方法,从而可以确保内网接入的安全性。与现有技术相比,本发明不仅更具安全认证的权威性,安全性明显增强,而且部署方便,可以根据需求灵活的配置和管理安全策略,实用性强,并利用了原有的拨号服务器设备和VPN设备,节约了投资。
附图说明
下面结合附图对本发明作进一步的说明。
图1为本发明的总体框架图。
图2为本发明一个系统图。
图3为本发明一个实施例的认证接入流程图。
具体实施方式
实施例一
本实施例的PKI安全认证网关如图1和图2所示。
认证客户端:安装在用户客户端的程序,用来读取证书并和安全认证网关进行交互操作。
Keep alive模块:判断流量是否到达阀值或Token令牌是否有效,当流量到达阀值或Token无效时进行第二次重新认证。
管理配置:只能在内网使用,用于对安全认证网关进行初始化、各种策略配置、权限管理。只能使用点到点的连接进行初始化,初始化后,必须持有管理员的数字证书才能够登录到安全认证网关进行管理。
日志模块:记录各种事件的日志。
在线用户SN查询模块:可以查询目前使用安全认证网关登录用户的用户信息。
软路由转发模块:软件实现IP的路由功能。
NAT模块:对内网、外网地址做地址映射。
身份认证模块:和CA中心验证数字证书合法性以及验证客户端数字签名的模块。
基于策略的IP监控模块:监控IP的包和流量。
本实施例的系统如图2所示,在拨号服务器、VPN设备与江苏省电力公司企业内联网中之间部署了一台安全认证网关,用户仍旧使用拨号服务器或VPN设备进入到企业互联网,但是只能访问到安全认证网关,只有通过安全认证网关的安全认证,才能被路由到江苏省电力公司企业内联网中进行远程移动办公,这样既利用了原有的拨号服务器设备和VPN设备,节约了投资,又能充分保证远程办公的安全。具体安全认证的接入流程如图3所示,步骤如下:
1)、用户通过拨号服务器或VPN设备发出接入企业网的IP包;
2)、安全认证网关检测到用户要接入企业内网的IP包后,要求出示用户的数字证书,例如在用户接入安全认证网关的时候,安全认证网关要求用户提供用户的数字证书,用户的数字证书存放在用户的IC卡中,用户客户端通过读卡器将用户个人的数字证书传送给安全认证网关,数字证书如下:
MIIDAzCCAmygAwIBAgIQMgAUBAIHAAAAAAAAAAAEHjANBgkqhkiG9w0
BAQUFADCBkDELMAkGA1UEBhMCQ04xDzANBgNVBAgeBmxfgs93ATENMA
sGA1UEBx4EU1dOrDE1MCMGA1UEChMcSm1hbmdTdUVsZWN0cm1jUG93Z
XIgQ29tcGFueTE1MCMGA1UECxMcSm1hbmdTdUVsZWN0cm1jUG93ZXIg
Q29tcGFueTETMBEGA1UEAxMKU1VCQ0FKU0VQQzAeFw0wNDAyMDcwNzQ
yMzNaFw0wNjAyMDcwNzQyMzNaMIGDMQswCQYDVQQGEwJDTjEPMA0GA1
UECB4GbF+Cz3cBMQ0wCwYDVQQHHgRTV06sMREwDwYDVQQLHghsX4LPU
1dOrDFBMBcGA1UEAxMQVVNFUk1EMDAwMTExMDQ1MTALBgNVBAMeBF6E
XK0wGQYDVQQDExIzMjAzMTExOTczMTIyNjA0MzcwgZ8wDQYJKoZIhvc
NAQEBBQADgY0AMIGJAoGBAKHAq/qpGUKSktxpw7VhVypiABXr1HQSti
wzdFlzMZJ2aSF8R04uU5XHr/bKEFTY/tgrVyUOZprtiQIn1zsUvvhnh
SwP8pDfk3fi58RnmXVkjLRshD+BMGUPNdHZm7+aduX2rXniPCbVtVrM
5gRh9YEuYOn6t5Eg6D1BuRWjKynJAgMBAAGjaTBnMCAGA1UdDgEBAAQ
WBBQSRqQjIKzt1JaCANmpqrxQJ3S1nTAOBgNVHQ8BAQAEBAMCBsAwIg
YDVR0jAQEABBgwFoAUrL7VeiDEOvVh7v375YErEUSHMS0wDwYDVR0TA
QH/BAUwAwEBADANBgkqhkiG9w0BAQUFAAOBgQBerKF6Msf9+1Pv15ts
H7jD07XPscT0T93FV4tCCBZHnrsgfgHznhIfxZfEQEwI6N2vEzrJuZG
/y9efU5Cr/41u0p87Ny96Q7fqokFPN9ZSDibX1mukIujd6T5fts4oP3
BfHrTbiNYcYXnfm51bGfThoudKdU06Wc0dK6gkOFmmcw==。
3)、安全认证网关接到用户出示的数字证书后,到CA中心验证数字证书的有效性,例如在安全认证网关接收到上述数字证书后使用CheckCert()函数通过OCSP向CA中心验证证书的有效性,返回True。
4)、如果数字证书有效,安全认证网关生成随机数发送到用户端,例如生成随机数:
a12qhyk7QAaXw43diUy9yTsmy7HnQbApvZY1t1QaPNM7Jsux50GwKb2
WJbdUGjzTOybLsedBsCm91iW3VBo8077YmrxnA/d6jfJc+30+5/a+2J
q8ZwP3eo3yXPt9Puf2vtiavGcD93qN81z7fT7n9r7YmrxnA/d6jfJc+
30+5/Y=
5)、用户使用自己的签名私钥对随机数进行数字签名并发送给安全认证网关,签名数据如下:
MIICKAYJKoZIhvcNAQcCMIICGQIBATANMQsGCSqGSIb3DQEBBQSBuGE
xMnFoeWs3UUFhWHc0M2RpVXk5eVRzbXk3SG4NC1FiQXB2W11sdDFRYV
BOTTdKc3V4NTBHd0tiMg0KV0piZFVHanpUT31iTHN1ZEJzQ205bG1XM
1ZCbw0KODA3N11tcnhuQS9kNmpmSmMrMzArNS9hKzJKcThadw0KUDN1
bzN5WFB0OVB1ZjJ2dG1hdkdjRDkzcU44bHo3Zg0KVDduOXI3WW1yeG5
BL2Q2amZKYyszMCs1L1k9DQoxggFIMIIBRAIBATCBpTCBkDELMAkGA1
UEBhMCQ04xDzANBgNVBAgeBmxfgs93ATENMAsGA1UEBx4EU1dOrDE1M
CMGA1UEChMcSm1hbmdTdUVsZWN0cm1jUG93ZXIgQ29tcGFueTE1MCMG
A1UECxMcSm1hbmdTdUVsZWN0cm1jUG93ZXIgQ29tcGFueTETMBEGA1U
EAxMKU1VCQ0FKU0VQQwIQMgAUBAIHAAAAAAAAAAAEHgYJKoZIhvcNAQ
EFBgkqhkiG9w0BAQEEgYAujUgd8P+hF2FEt21pw6V1865zwXikTESLG
Ip5ErBmm6k58oeX6jm8fn7m7Jdj7hf+0ZHJJZHpg9aXiwvahZEHRXvG
wtVCzE0UTPCAvuItjeoasWAvY0rbnuD7jIoJkAy3NI6jgqIgwcQp0b6
WrrjJkMWuYBtCx1SPNQMhMxwNDg==
6)、安全认证网关使用用户的公钥进行验签,确认确实是证书的持有者提交的请求;
6)’安全认证网关进行权限的校验,安全认证网关在权限表内查找该证书是否被授权;
7)、对于合法的用户,安全认证网关转发其IP包,使用户安全接入内网;
8)、安全认证网关定期检查用户的流量和令牌,当流量超过阀值或令牌不存在,则要求用户重新提交数字证书进行以上认证,例如用户在3分钟内到企业内网无任何流量(该策略可配置),用户再次访问内网的时候必须重复上述步骤。
以上步骤中任何一次认证结果为否,安全认证网关将提示安全认证未通过安全认证,用户不能登录到内网,在一定的时间内同一用户被拒绝三次后(该时间策略也可以配置),安全认证网关将会将其作为恶意用户并记录其IP地址、证书序列号、恶意登录时间等信息。
实践证明,由于通过实现与CA中心的有机联系,使用户可以自己的签名私钥对随机数进行数字签名,继而使用用户的公钥进行验签,因此提供了一种强身份认证的方法,可以确保内网接入的安全性。
Claims (3)
1.一种借助安全认证网关的企业网安全接入方法,在拨号服务器、VPN设备与企业互联网之间部署一台安全认证网关,安全认证的接入步骤如下:
1)、用户通过拨号服务器或虚拟专用网(VPN)设备发出接入企业网的IP包;
2)、安全认证网关检测到用户要接入企业内网的IP包后,要求出示用户的数字证书;
3)、安全认证网关接到用户出示的数字证书后,使用CheckCert()函数通过在线证书状态协议(OCSP)向证书授权(CA)中心验证数字证书的有效性;
4)、如果数字证书有效,安全认证网关生成随机数发送到用户端;
5)、用户使用自己的签名私钥对随机数进行数字签名并发送给安全认证网关;
6)、安全认证网关使用用户的公钥进行验签,确认确实是证书的持有者提交的请求,并进行权限校验;
7)、对于合法的用户,安全认证网关转发其IP包,使用户安全接入内网。
2.根据权利要求1所述借助安全认证网关的企业网安全接入方法,其特征在于:所述步骤7)之后,安全认证网关定期检查用户的流量和令牌,当流量超过阀值或令牌不存在,则要求用户重新提交数字证书进行以上认证。
3.根据权利要求1或2所述借助安全认证网关的企业网安全接入方法,其特征在于:认证客户端安装Keep alive模块,用以判断流量是否到达阀值或Token令牌是否有效,当流量到达阀值或Token无效时进行第二次重新认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410014928A CN100576793C (zh) | 2004-05-18 | 2004-05-18 | 借助安全认证网关的企业网安全接入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410014928A CN100576793C (zh) | 2004-05-18 | 2004-05-18 | 借助安全认证网关的企业网安全接入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1700638A CN1700638A (zh) | 2005-11-23 |
| CN100576793C true CN100576793C (zh) | 2009-12-30 |
Family
ID=35476518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200410014928A Expired - Fee Related CN100576793C (zh) | 2004-05-18 | 2004-05-18 | 借助安全认证网关的企业网安全接入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100576793C (zh) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100495963C (zh) * | 2006-09-23 | 2009-06-03 | 西安西电捷通无线网络通信有限公司 | 一种公钥证书状态的获取及验证方法 |
| CN101227376B (zh) * | 2008-02-04 | 2010-07-28 | 杭州华三通信技术有限公司 | 一种虚拟专用网多实例安全接入的方法及设备 |
| CN101277246B (zh) * | 2008-05-12 | 2010-08-04 | 华耀环宇科技(北京)有限公司 | 一种基于传输层vpn技术的安全通信方法 |
| CN101674182B (zh) * | 2009-09-30 | 2011-07-06 | 西安西电捷通无线网络通信股份有限公司 | 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统 |
| EP2716094A4 (en) * | 2011-06-03 | 2014-12-03 | Blackberry Ltd | SYSTEM AND METHOD FOR ACCESSING PRIVATE NETWORKS |
| CN102571798B (zh) * | 2012-01-16 | 2016-12-14 | 合众思壮北斗导航有限公司 | 一种公安网络系统 |
| CN102624724B (zh) * | 2012-03-06 | 2014-12-17 | 深信服网络科技(深圳)有限公司 | 安全网关及利用网关安全登录服务器的方法 |
| CN104904156B (zh) * | 2013-01-08 | 2018-09-18 | 三菱电机株式会社 | 认证处理装置、认证处理系统以及认证处理方法 |
| CN103607372B (zh) * | 2013-08-19 | 2016-12-28 | 深信服网络科技(深圳)有限公司 | 网络接入的认证方法及装置 |
| CN104767621B (zh) * | 2015-04-16 | 2018-04-10 | 深圳市高星文网络科技有限公司 | 一种移动应用访问企业数据的单点安全认证方法 |
| CN105025035A (zh) * | 2015-08-05 | 2015-11-04 | 全球鹰(福建)网络科技有限公司 | 一种单点安全认证方法及系统 |
| CN106411905A (zh) * | 2016-10-10 | 2017-02-15 | 青海帝特斯软件开发有限公司 | 一种以软路由实现分布式架构的方法 |
| CN106817369A (zh) * | 2017-01-05 | 2017-06-09 | 深圳市证通电子股份有限公司 | 数据安全交互方法和系统 |
| CN108282336A (zh) * | 2017-01-06 | 2018-07-13 | 北京京东尚科信息技术有限公司 | 设备签名验证方法及装置 |
| CN110311785B (zh) * | 2019-06-10 | 2022-06-07 | 平安科技(深圳)有限公司 | 一种内网访问方法及相关装置 |
| CN113542198B (zh) * | 2020-04-17 | 2023-05-09 | 国电南瑞科技股份有限公司 | 一种基于互联网的高可用数据交互系统及方法 |
| CN116633690B (zh) * | 2023-07-24 | 2023-09-26 | 北京易核科技有限责任公司 | 一种通信系统、方法、设备及存储介质 |
-
2004
- 2004-05-18 CN CN200410014928A patent/CN100576793C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1700638A (zh) | 2005-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100576793C (zh) | 借助安全认证网关的企业网安全接入方法 | |
| US9900163B2 (en) | Facilitating secure online transactions | |
| US7478236B2 (en) | Method of validating certificate by certificate validation server using certificate policies and certificate policy mapping in public key infrastructure | |
| US20030217148A1 (en) | Method and apparatus for LAN authentication on switch | |
| US20090240936A1 (en) | System and method for storing client-side certificate credentials | |
| US8484456B2 (en) | Trusted electronic messaging system | |
| US20080077791A1 (en) | System and method for secured network access | |
| US20090025080A1 (en) | System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access | |
| US6981156B1 (en) | Method, server system and device for making safe a communication network | |
| US20080022085A1 (en) | Server-client computer network system for carrying out cryptographic operations, and method of carrying out cryptographic operations in such a computer network system | |
| CA2433154A1 (en) | Method and system for obtaining digital signatures | |
| JP2002064485A (ja) | 公開鍵インフラストラクチャにおける安全なレガシー・エンクレーヴのためのシステム及び方法 | |
| AU2002230823A1 (en) | Method and system for obtaining digital signatures | |
| JP2009514072A (ja) | コンピュータ資源への安全なアクセスを提供する方法 | |
| US20020035686A1 (en) | Systems and methods for secured electronic transactions | |
| US7444507B2 (en) | Method and apparatus for distribution of digital certificates | |
| EP2070248B1 (en) | System and method for facilitating secure online transactions | |
| CN201846357U (zh) | 非现场行业安全网络构架 | |
| CN114244516B (zh) | 多年期ssl证书申请时安全验证域名所有权的系统 | |
| Simpson et al. | Maintaining zero trust with federation | |
| Mwakalinga et al. | Authorization System in Open Networks based on Attribute Certificates | |
| Zhao et al. | An add-on end-to-end secure email solution in mobile communications | |
| Venkatesan et al. | Authentification of Certificate in Network by Using Unique Sign-on Algorithm | |
| CN113794721A (zh) | 一种政府机关及金融机构与企业安全直连方法 | |
| CN116389095A (zh) | 一种云平台混合身份认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091230 Termination date: 20130518 |