CN101072108A - 一种ssl vpn客户端安全检查方法、系统及其装置 - Google Patents
一种ssl vpn客户端安全检查方法、系统及其装置 Download PDFInfo
- Publication number
- CN101072108A CN101072108A CN 200710130243 CN200710130243A CN101072108A CN 101072108 A CN101072108 A CN 101072108A CN 200710130243 CN200710130243 CN 200710130243 CN 200710130243 A CN200710130243 A CN 200710130243A CN 101072108 A CN101072108 A CN 101072108A
- Authority
- CN
- China
- Prior art keywords
- client
- safety inspection
- access device
- server
- acl
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种SSL VPN客户端安全检查方法,包括以下步骤:接入设备向认证服务器转发客户端的身份认证请求;在所述认证服务器确认所述客户端通过身份认证之后,所述接入设备将从策略服务器中接收的安全检查项下发给所述客户端,并通知所述客户端根据所述安全检查项进行安全检查;判断所述客户端是否通过所述安全检查;如果所述客户端未通过所述安全检查,则所述接入设备针对所述客户端引用隔离访问控制表ACL。本发明实施例实现了通过策略服务器对客户端进行安全状态检测,使得只有符合安全标准通过安全检查的客户端才能够被允许正常接入网络。
Description
技术领域
本发明涉及移动通信技术领域,特别是涉及一种SSL VPN客户端安全检查方法、系统及其装置。
背景技术
SSL(Security Socket Layer,安全套接字层)通过加密方式保护在互联网上传输的数据安全性,它可以自动应用在每一个浏览器上。VPN(Virtua1Private Network,虚拟专用网络)则主要应用于虚拟连接网络,它可以确保数据的机密性并且具有一定的访问控制功能。过去,VPN总是和IPSec(Internet Protocol Security,因特网协议安全)联系在一起,因为它是VPN加密信息实际用到的协议。IPSec运行于网络层,IPSec VPN则多用于连接两个网络或点到点之间的连接。到目前为止,SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比,SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN,这是因为SSL内嵌在浏览器中,它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机,工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。
SSL VPN目前实现了对客户端的安全评估,当用户通过SSL VPN远程接入访问内部相应的网络资源时,不安全客户端接入将有可能造成核心机密的泄漏和网络病毒的传播,对内网的网络安全和信息安全造成很大威胁。为解决这个问题,现有的SSL VPN产品在普通用户登录时可以通过插件对客户端操作系统版本,注册表键值、客户端安全软件的部署等情况进行检查,对客户端的安全性进行评估并确认其能够访问哪些资源。
其中,该SSL VPN产品具体可以提供检查的可选项目有:
操作系统的类型、版本以及安装的补丁;
浏览器的类型、版本以及安装的补丁;
防病毒软件的安装;
防火墙软件的安装;
是否持有由指定颁发者颁发的数字证书;
是否有指定的文件;
是否有指定的进程。
以上各项可以任选一项或多项,在选择后只有选择的各项都符合条件的用户才被允许登录。用户在登录过程中,调用ActiveX插件进行安全检查;通过一定级别的安全策略检查后,受到该安全策略保护的资源与用户所拥有访问权限的资源的交集对用户来说就是可见的,否则用户无权登录和访问相关资源。
在实现本发明过程中,发明人发现现有技术中至少存在如下缺点:缺点一:现有技术中的SSL VPN产品所能执行的检查功能有限,无法实现与防病毒软件和防火墙软件的强联动,无法实现病毒库自动升级和对病毒感染情况的实时监控。缺点二:检查操作系统补丁之后,如果补丁没有打全无法接入内网服务器,无法实现补丁自动升级。缺点三:资源的重复分配,在用户所属的用户组中资源已经被配置;如果要实施安全策略则还需要再配置资源与策略的对应关系,在登录时再使用两种资源的交集,配置不便。缺点四:目前的ActiveX插件只在用户登陆的过程中进行一些静态检查,没有监控到用户上线之后客户端安全信息的变化,不能做到定时检查实时监控,存在一定的安全隐患。
发明内容
本发明实施例供一种SSL VPN客户端安全检查方法、系统及其装置,解决现有技术中SSL VPN产品所能执行的检查功能有限,资源重复分配和在用户上线后无法实施监控的问题。
为达到上述目的,本发明实施例一方面提出一种SSL VPN客户端安全检查方法,包括以下步骤:接入设备向认证服务器转发客户端的身份认证请求;在所述认证服务器确认所述客户端通过身份认证之后,所述接入设备将从策略服务器中接收的安全检查项下发给所述客户端,并通知所述客户端根据所述安全检查项进行安全检查;判断所述客户端是否通过所述安全检查;如果所述客户端未通过所述安全检查,则所述接入设备针对所述客户端引用隔离访问控制表ACL。
其中,在判断所述客户端是否通过所述安全检查之后,还包括以下步骤:如果所述客户端通过所述安全检查,则所述接入设备针对所述客户端引用安全ACL。
其中,所述认证服务器具体为综合访问管理CAMS服务器,在所述CAMS服务器确认所述客户端通过身份认证之后,还包括以下步骤:所述CAMS服务器将所述策略服务器地址信息发送给所述客户端;所述客户端根据接收的所述地址信息向所述策略服务器发起安全检查请求。
其中,在所述客户端根据接收的所述地址信息向所述策略服务器发起安全检查请求之后,还包括以下步骤:所述策略服务器从所述CAMS服务器中获取安全策略;根据所述安全策略确定所述客户端的安全检查项,并下发给所述接入设备。
其中,在所述认证服务器确认所述客户端通过身份认证之后,还包括以下步骤:所述认证服务器向所述客户端发送身份认证回应信息;所述客户端判断所述身份认证回应信息中是否有策略服务器的地址信息;如果没有所述策略服务器的地址信息,则向所述接入设备发起安全检查请求。
其中,在所述客户端向所述接入设备发起安全检查请求之后,还包括以下步骤:所述接入设备代理所述客户端向策略服务器发起安全检查请求;所述策略服务器从所述接入设备中获取安全策略;根据所述安全策略确定所述安全检查项,并下发给所述接入设备。
其中,在所述接入设备针对所述客户端引用隔离ACL之后还包括以下步骤:提示所述客户端进行安全升级或下线。
其中,在所述接入设备针对所述客户端引用安全ACL之后,还包括以下步骤:在所述客户端在线过程中,定期要求所述客户端进行安全检查;如果所述客户端未通过所述定期的安全检查,则通知所述客户端进行安全升级或下线。
其中,在所述接入设备针对所述客户端引用隔离ACL之后,还包括以下步骤:所述接入设备将所述隔离ACL转换成对应的隔离区IP资源。
其中,在所述判断客户端是否通过所述安全检查之前,还包括以下步骤:所述客户端根据安全检查项目进行安全检查后将安全检查结果发给所述策略服务器;所述策略服务器根据接收到的所述安全检查结果判断所述客户端是否通过所述安全检查,并通知所述接入设备。
另一方面,本发明实施例还提供了一种接入设备,包括身份认证请求处理模块,安全检查项下发模块,安全检查判断模块和ACL控制模块,所述身份认证请求处理模块,用于向认证服务器转发客户端的身份认证请求;所述安全检查项下发模块,用于在所述认证服务器确认所述客户端通过身份认证之后,将从策略服务器中接收的安全检查项下发给所述客户端,通知所述客户端根据所述安全检查项进行安全检查;所述安全检查判断模块,用于判断所述客户端是否通过所述安全检查;所述ACL控制模块,用于在所述安全检查判断模块判断所述客户端未通过所述安全检查时,针对所述客户端引用隔离访问控制表ACL。
其中,所述ACL控制模块进一步还用于在所述安全检查判断模块判断所述客户端通过所述安全检查时,针对所述客户端引用安全ACL。
其中,还包括配置信息保存模块,用于保存策略服务器地址信息、安全策略和安全/隔离ACL号。
其中,还包括客户端代理模块,用于在收到所述客户端的安全检查请求后,代理所述客户端向所述策略服务器请求安全检查。
其中,还包括定期通知模块,用于在所述安全检查判断模块判断所述客户端通过安全检查后,定期通知所述客户端进行安全检查。
其中,还包括提示模块,用于在所述安全检查判断模块判断所述客户端未通过安全检查后,提示所述客户端进行安全升级或下线。
其中,所述ACL控制模块还包括ACL转换子模块,用于将所述隔离ACL转换成对应的隔离区IP资源。
再一方面,本发明实施例还提出一种SSL VPN客户端安全检查系统,包括客户端、接入设备、认证服务器和策略服务器,所述客户端,用于通过所述接入设备向所述认证服务器发起身份认证请求;所述认证服务器,用于验证所述客户端是否通过身份认证,并通知所述接入设备;所述接入设备,用于在所述认证服务器确认所述客户端通过身份认证之后,将从策略服务器中接收的安全检查项下发给所述客户端,通知所述客户端根据所述安全检查项进行安全检查,并在所述客户端未通过安全检查后针对所述客户端引用隔离访问控制表ACL;所述策略服务器,用于根据安全策略确定所述客户端的安全检查项,并将所述安全检查项下发给所述接入设备。
其中,还包括防病毒服务器和/或补丁服务器,用于在所述客户端未通过安全检查后,供所述客户端进行安全升级。
本发明实施例的技术方案具有以下优点,通过策略服务器对客户端进行安全状态检测,使得只有符合安全标准通过安全检查的客户端才能够被允许正常接入,未通过安全检查的客户端只能访问隔离区内的服务器资源,并通知未通过安全检查的客户端利用隔离区内的服务器资源进行安全升级。本发明实施例还可以在客户端通过安全检查接入网络后,继续对该客户端进行监控,一旦发现该客户端存在安全隐患立刻通知该客户端进行安全升级或下线。
附图说明
图1为本发明实施例SSL VPN客户端安全检查系统结构图;
图2为本发明实施例一的SSL VPN客户端安全检查方法流程图;
图3为本发明实施例二的SSL VPN客户端安全检查方法流程图;
图4为本发明实施例三的SSL VPN客户端安全检查方法流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述:
如图1所示,为本发明实施例SSL VPN客户端安全检查系统结构图,该SSL VPN客户端安全检查系统包括客户端1、认证服务器2、接入设备3和策略服务器4,其中接入设备可以是SSL VPN网关。客户端1用于通过接入设备3向认证服务器2发起身份认证请求,客户端1通过浏览器(例如IE浏览器)向接入设备3发起登录请求,请求进行身份验证,并将用户名、密码等用户信息发给接入设备3,接入设备3将上述用户信息转发给认证服务器2进行身份认证;认证服务器2用于验证客户端1是否通过身份认证,并将是否通过身份认证的结果通知接入设备3;接入设备3用于在认证服务器2确认客户端1通过身份认证之后,将从策略服务器4中接收的安全检查项下发给客户端1,通知客户端1根据该安全检查项进行安全检查,并在客户端1未通过安全检查后针对该客户端1引用隔离ACL(access control list,访问控制表),如果该客户端1通过安全检查,则针对该客户端1引用安全ACL。策略服务器4用于根据安全策略确定客户端1的安全检查项,并将安全检查项下发给接入设备3,在客户端1根据该安全检查项进行安全检查后,根据客户端1上报的安全检查结果确认该客户端1是否通过安全检查。
本发明实施例所述的SSL VPN客户端安全检查系统还包括防病毒服务器5和/或补丁服务器6,防病毒服务器5和/或补丁服务器6用于在策略服务器4判断客户端1未通过安全检查后,供该客户端1进行安全升级,例如进行软件补丁或最新病毒库的升级。
其中,接入设备3包括身份认证请求处理模块31,安全检查项下发模块32,安全检查判断模块33和ACL控制模块34,身份认证请求处理模块31用于向认证服务器2转发客户端1的身份认证请求;安全检查项下发模块32用于在认证服务器2确认客户端1通过身份认证之后,将从策略服务器2中接收的安全检查项下发给客户端1,通知客户端1根据该安全检查项进行安全检查;安全检查判断模块33用于判断客户端1是否通过安全检查;ACL控制模块34用于在安全检查判断模块33判断客户端1未通过安全检查时,针对客户端1引用隔离访问控制表ACL,或在安全检查判断模块33判断客户端1通过安全检查时,针对该客户端1引用安全访问控制表ACL。
其中,接入设备3还包括定期通知模块37,用于在安全检查判断模块33判断客户端1通过安全检查后,定期通知该客户端1进行安全检查。这样就能够随时检测客户端1的安全状态,在客户端1的安全信息发生变化不能通过安全检查时,及时提醒并允许客户端1进行安全升级或直接下线。
其中,接入设备3还包括提示模块38用于在安全检查判断模块33判断客户端1未通过安全检查时,提示客户端1进行安全升级或直接下线。
其中,ACL控制模块34还包括ACL转换子模块341,用于将隔离ACL转换成对应的隔离区IP资源,并提示客户端1可通过启动IP Proxy(IP代理)进入隔离区,此时该客户端1只能访问隔离区中的服务器资源,例如防病毒服务器5和/或补丁服务器6,以便客户端1进行病毒库升级或补丁升级。
本发明实施例所示的SSL VPN客户端安全检查系统既可用于在CAMS服务器(Comprehensive Access Management Server,综合访问管理服务器)进行身份认证,也可通过本地服务器、AD(Active Directory,活动目录)服务器、LDAP服务器(Lightweight Directory Access Protocol,轻量目录访问协议)或其它Radius(远程鉴别拨号用户服务)服务器进行身份认证。因为CAMS服务器能够配置安全策略、策略服务器地址以及隔离/安全ACL,因此CAMS服务器可以将策略服务器地址通过Radius报文传递给客户端1。其中CAMS服务器是一款Radius服务器,它能够在Radius报文的私有属性中增加了一项用来传递策略服务器地址的属性,因此可以将策略服务器地址通过Radius报文传递给客户端1。
本发明实施例提出了一种上述SSL VPN客户端安全检查系统采用CAMS服务器进行身份认证的模式,具体过程如下:客户端1通过浏览器(IE)向接入设备3发起登陆请求,并将用户名、密码等用户信息发给接入设备3,该接入设备3将这些用户信息转发给CAMS服务器进行身份认证。其中,该接入设备3可以是SSL VPN网关。CAMS服务器根据上述用户信息判断该客户端1通过身份认证后,将策略服务器的地址信息,例如策略服务器的IP地址和端口通过接入设备3发送给客户端1。客户端1通过浏览器(IE)从接入设备3(SSL VPN网关)自动下载安全检查软件进行安全检查,例如ActiveX控件或Java Applet程序,然而如果该客户端1之前已经下载过相应的安全检查软件或之前在客户端1上已经预安装了该安全检查软件,则该客户端1就不需要从接入设备3中再次下载。即使通过浏览器下载该安全检查软件,因为该安全检查软件的大小不到1M,所以不会影响网络的性能。
客户端1通过该安全检查软件将安全检查请求发送给接入设备3,接入设备3开放一个特殊的端口接收该客户端1发送的安全检查请求,例如SSL VPN网关开放的一个没有被其他服务占用的端口用来专门和客户端进行通讯,这个端口不提供其它服务。并将该请求转发给策略服务器4,该接入设备3透传客户端1与策略服务器4之间的通讯,同样策略服务器4返回给客户端1的报文也要先发给接入设备3,再由接入设备3转发给客户端1,这样断开了未经过安全检查的客户端1与策略服务器4的联系,进一步保证了内网的安全。策略服务器4接收到接入设备3转发的安全检查请求后从CAMS服务器中取得安全策略,并根据该安全策略获取客户端1的安全检查项,通过接入设备3将该安全检查项下发给客户端1,并要求该客户端1根据该安全检查项进行安全检查。该客户端1按照安全检查项进行了安全检查后,将安全检查结果返回给策略服务器4,策略服务器4根据安全检查结果以预设的安全标准判断该客户端1是否通过了安全检查,其中,该预设的安全标准由企业用户针对自身的网络安全性标准制定客户端1的操作系统及主要应用软件补丁的最低标准,或防火墙与杀毒软件的最低版本,如果不能满足这些最低标准则说明该客户端1不能满足网络的安全性标准,需要进行安全升级,并且该安全标准可以在策略服务器上根据用户需要随时更新。
如果策略代理服务器4根据上报的安全检查结果判断该客户端1通过安全检查,则策略服务器4将检查结果通知CAMS服务器,CAMS服务器在得知该客户端1通过安全检查后,通知接入设备3并将安全ACL号下发给该接入设备3,接入设备3允许客户端1访问其拥有的资源,其中,因为接入设备此时已经对访问权限进行了限制,因此安全ACL可以使用许可IP。
同样如果策略服务器4判断该客户端1未通过安全检查,则CAMS服务器通知接入设备3并将隔离ACL号下发给该接入设备3,接入设备3对该客户端1引用该隔离ACL,该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器,例如防病毒服务器5、补丁服务器6等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源,提示客户端可通过启动IPProxy(IP代理)进入隔离区,此时客户端1启动IP Proxy不能访问正常的IP网络资源,只能访问隔离区的服务器资源。或者接入设备3提示客户端1进入隔离区进行安全升级或直接下线。在客户端1进行了安全升级之后,还可再对该客户端1进行安全检查,如果该客户端能够通过安全检查,则为该客户端1引用安全ACL,如果还未通过安全检查,则再次要求该客户端1进行安全升级或直接下线。IP Proxy根据隔离ACL的内容限制用户仅可以访问隔离ACL允许的服务器资源。
如果该客户端1通过上述安全检查,进入正常的在线连接,则还需要对该客户端1进行定期的安全检查,以随时了解该客户端1安全状态的变化,在该客户端1不能满足安全标准要求,不能通过安全检查后则对该客户端1进行隔离限制,提示其进行安全升级或直接下线。
本发明实施例还提出了一种通过本地服务器、AD服务器、LDAP服务器或其它Radius服务器进行身份认证的模式。因为安全策略、策略代理服务器地址和安全/隔离ACL号均由CAMS服务器下发,因此在该模式没有CAMS服务器的情况下,就需要接入设备3完成上述工作,所以接入设备3还需要配置以下模块。
其中,接入设备3还包括配置信息保存模块35,用于保存策略服务器地址信息、安全策略和安全/隔离ACL号,以及需要给策略服务器提供的在线用户列表。
其中,接入设备3还包括客户端代理模块36,用于在收到客户端1的安全检查请求后,代理客户端1向策略服务器4请求安全检查。因为客户端1没有策略服务器4的地址信息,因此需要由接入设备3代理客户端1向策略服务器4请求安全检查。
该模式的具体过程如下:
客户端1通过浏览器(IE)向接入设备发起登陆请求,并将用户名、密码等用户信息发给接入设备3,该接入设备3将这些用户信息转发给认证服务器2进行身份认证,其中,该接入设备可以是SSL VPN网关。认证服务器2根据上述用户信息判断该客户端1通过身份认证后,向客户端1回复通过认证的认证回应信息。客户端1通过浏览器(IE)从接入设备(SSLVPN网关)自动下载安全检查软件进行安全检查,例如ActiveX控件或JavaApplet程序,然而如果该客户端1之前已经下载过相应的安全检查软件或在客户端1上已经预安装了该安全检查软件,则该客户端1就不需要从接入设备3中再次下载。即使通过浏览器(IE)下载该安全检查软件,因为该安全检查软件的大小不到1M,所以因此不会影响网络的性能。
客户端1在发现在该认证回应信息中没有策略服务器4的地址信息和端口后,向接入设备3发起安全检查请求,接入设备3代理客户端1向策略服务器4请求安全检查。策略服务器4收到安全检查请求后从接入设备3中取得安全策略,并根据该安全策略确定安全检查项后将该安全检查项通过接入设备3下发给客户端1,并要求该客户端1根据该安全检查项进行安全检查。该客户端1按照安全检查项进行安全检查后,将安全检查结果返回给策略服务器4,策略服务器4根据安全检查结果以预设的安全标准判断该客户端1是否通过了安全检查。
如果策略代理服务器4根据上报的安全检查结果判断该客户端1通过安全检查,则策略服务器4将检查结果通知接入设备3,则接入设备3对该客户端1引用安全ACL,因为接入设备3此时已经对访问权限进行了限制,因此安全ACL可以使用许可IP。
同样,如果该客户端1的安全检查未通过,策略服务器4将会通知接入设备3引用隔离ACL,该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器,例如防病毒服务器5、补丁服务器6等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源,提示客户端可通过启动IP Proxy(IP代理)进入隔离区,此时客户端1启动IP Proxy不能访问正常的IP网络资源,只能访问隔离区的服务器资源,或者接入设备3提示客户端1进入隔离区进行安全升级或直接下线。
同样该模式下也可对在线的客户端1进行实时的安全监控,如果该客户端1通过上述安全检查,进入正常的在线连接,则还需要对该客户端1进行定期的安全检查,以随时了解该客户端1安全状态的变化,在该客户端1不能满足安全标准要求,不能通过安全检查后则对该客户端1进行隔离限制,提示其进行安全升级或直接下线。
如图2所示,本发明实施例一的SSL VPN客户端安全检查方法流程图,包括以下步骤:
步骤S201,接入设备向认证服务器转发客户端的身份认证清求。客户端通过浏览器(IE)向接入设备发起登陆请求,并将用户名、密码等用户信息发给接入设备,该接入设备将这些用户信息转发给认证服务器进行身份认证,其中,该接入设备可以是SSL VPN网关。
步骤S202,在认证服务器确认客户端通过身份认证之后,接入设备将从策略服务器中接收的安全检查项下发给客户端,通知客户端根据安全检查项进行安全检查。本发明实施例提出了两种根据不同认证服务器进行安全检查的模式,既可用于在CAMS服务器进行身份认证,也可通过本地服务器、AD服务器、LDAP服务器或其它Radius服务器进行身份认证。在认证服务器确认该客户端通过身份认证之后,由策略服务器根据预设的安全标准进行安全检查,将安全检查项通过接入设备下发给客户端,并要求该客户端根据安全检查项进行安全检查。
步骤S203,接入设备判断客户端是否通过安全检查。策略服务器根据客户端上报的安全检查结果判断该客户端是否通过安全检查,并将检查结果通知接入设备,接入设备根据策略服务器通知的检查结果,并根据判断结果选择该客户端是正常访问网络还是进入隔离区只能访问隔离区内的服务器。
步骤S204,如果客户端未通过安全检查,则接入设备针对客户端引用隔离访问控制表ACL。该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器,例如防病毒服务器、补丁服务器等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源,提示客户端可通过启动IP Proxy(IP代理)进入隔离区,此时客户端启动IP Proxy不能访问正常的IP网络资源,只能访问隔离区的服务器资源。或者接入设备提示客户端进入隔离区进行安全升级或直接下线。在客户端进行了安全升级之后,接入设备还可再对该客户端进行安全检查,如果该客户端能够通过安全检查,则为该客户端引用安全ACL,如果还未通过安全检查,则再次要求该客户端进行安全升级或直接下线。
步骤S205,如果客户端通过安全检查,则接入设备针对客户端引用安全ACL。接入设备允许客户端访问其拥有的资源,其中,因为接入设备此时已经对访问权限进行了限制,因此安全ACL可以使用许可IP。
步骤S206,在通过安全检查的客户端在线过程中,接入设备定期要求客户端进行安全检查,如果客户端未通过定期的安全检查,则通知该客户端进行安全升级或下线。这样就能够随时了解该客户端安全状态的变化,在该客户端不能满足安全标准要求,不能通过安全检查后,对该客户端进行隔离限制,提示其进行安全升级或直接下线。
如图3所示,为本发明实施例二的SSL VPN客户端安全检查方法流程图,该实施例采用CAMS服务器进行身份认证的模式,包括以下步骤:
步骤S301,接入设备向CAMS服务器转发客户端的身份认证请求。客户端通过浏览器(IE)向接入设备发起登陆请求,并将用户名、密码等用户信息发给接入设备,该接入设备将这些用户信息转发给CAMS服务器进行身份认证,其中,该接入设备可以是SSL VPN网关。
步骤S302,在CAMS服务器根据上述用户信息判断该客户端通过身份认证后,则将策略服务器的地址信息发送给客户端,例如将策略服务器的IP地址和端口通过接入设备发送给客户端。
步骤S303,客户端通过浏览器(IE)从接入设备(SSL VPN网关)自动下载安全检查软件进行安全检查,例如ActiveX控件或Java Applet程序,然而如果该客户端之前已经下载过相应的安全检查软件或在客户端上已经预安装了该安全检查软件,则该客户端就不需要从接入设备中再次下载。本发明实施例提出的安全检查软件即使通过浏览器下载,由于因为该安全检查软件的大小不到1M,因此不会影响网络的性能。
步骤S304,客户端通过该安全检查软件将安全检查请求发送给接入设备,因为客户端有策略服务器的地址信息,因此接入设备只需透传客户端与策略服务器的通信即可,即接入设备开放一个特殊的端口接收该客户端发送的安全检查请求,并将该请求转发给策略服务器,该接入设备透传客户端与策略服务器之间的通讯,同样,策略服务器返回给客户端的报文也要先发给接入设备,再由接入设备转发给客户端,这样断开了未经过安全检查的客户端与策略服务器的联系,进一步保证了内网的安全。
步骤S305,策略服务器收到接入设备转发的安全检查请求后从CAMS服务器中取得安全策略,并根据该安全策略获取客户端的安全检查项,通过接入设备将该安全检查项下发给客户端,并要求该客户端根据该安全检查项进行安全检查。
步骤S306,该客户端按照安全检查项进行安全检查后,将安全检查结果返回给策略服务器,策略服务器根据安全检查结果以预设的安全标准判断该客户端是否通过了安全检查,其中,该预设的安全标准由企业用户针对自身的网络安全性标准制定客户端的操作系统及主要应用软件补丁的最低标准,或防火墙与杀毒软件的最低版本,如果不能满足这些最低标准则说明该客户端不能满足网络的安全性标准,需要进行安全升级,并且该安全标准可以在策略服务器上根据用户需要随时更新。
步骤S307,如果客户端未通过安全检查,则接入设备针对客户端引用隔离访问控制表ACL。该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器,例如防病毒服务器、补丁服务器等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源,提示客户端可通过启动IP Proxy(IP代理)进入隔离区,此时客户端启动IP Proxy不能访问正常的IP网络资源,只能访问隔离区的服务器资源,或者接入设备提示客户端进入隔离区进行安全升级或直接下线。在客户端进行了安全升级之后,接入设备还可再对该客户端进行安全检查,如果该客户端能够通过安全检查,则为该客户端引用安全ACL,如果还未通过安全检查,则再次要求该客户端进行安全升级或直接下线。
步骤S308,如果客户端通过安全检查,则接入设备针对客户端引用安全访问控制表ACL。接入设备允许客户端访问其拥有的资源,其中,因为接入设备此时已经对访问权限进行了限制,因此该安全ACL可以使用许可IP。
步骤S309,在通过安全检查的客户端在线过程中,接入设备定期要求客户端进行安全检查,如果客户端未通过定期的安全检查,则通知该客户端进行安全升级或下线。这样就能够以随时了解该客户端安全状态的变化,在该客户端不能满足安全标准要求,不能通过安全检查后,对该客户端进行隔离限制,提示其进行安全升级或直接下线。
如图4所示,为本发明实施例三的SSL VPN客户端安全检查方法流程图,该实施例采用本地服务器、AD服务器、LDAP服务器或其它Radius服务器进行身份认证的模式,因为安全策略、策略代理服务器地址和安全/隔离ACL号均由CAMS服务器下发,因此该模式在没有CAMS服务器的情况下,就需要接入设备完成上述工作,该实施例具体包括以下步骤:
步骤S401,接入设备向认证服务器转发客户端的身份认证请求。客户端通过浏览器(IE)向接入设备发起登陆请求,并将用户名、密码等用户信息发给接入设备,该接入设备将这些用户信息转发给认证服务器进行身份认证,其中,该接入设备可以是SSL VPN网关。
步骤S402,认证服务器根据上述用户信息判断该客户端通过身份认证后,向客户端回复通过认证的认证回应信息。
步骤S403,客户端通过浏览器从接入设备(SSL VPN网关)自动下载安全检查软件进行安全检查,例如ActiveX控件或Java Applet程序,然而如果该客户端之前已经下载过相应的安全检查软件或在客户端上已经预安装了该安全检查软件,则该客户端就不需要从接入设备中再次下载。本发明实施例提出的安全检查软件即使通过浏览器下载,由于该安全检查软件的大小不到1M,因此不会影响网络的性能。
步骤S404,客户端检测步骤S402中认证服务器回复的认证回应信息是否有策略服务器的地址信息。客户端在发现该认证回应信息中没有策略服务器的地址信息和端口后,则向接入设备发起安全检查请求,接入设备代理客户端向策略服务器请求安全检查。
步骤S405,策略服务器收到安全检查请求后从接入设备中取得安全策略,并根据该安全策略确定安全检查项后将该安全检查项通过接入设备下发给客户端,并要求该客户端根据该安全检查项进行安全检查。该客户端按照安全检查项进行了安全检查后,将安全检查结果返回给策略服务器,策略服务器根据安全检查结果以预设的安全标准判断该客户端是否通过了安全检查。
步骤S406,策略代理服务器根据上报的安全检查结果判断该客户端是否通过安全检查,并将检查结果通知接入设备。
步骤S407,如果该客户端的安全检查未通过,则接入设备对该客户端引用隔离访问控制表ACL,该隔离ACL只能允许用户访问隔离区内的几个必要的软件升级服务器,例如防病毒服务器、补丁服务器等。并且由接入设备将隔离ACL翻译成对应的隔离区IP资源,提示客户端可通过启动Ip Proxy(IP代理)进入隔离区,此时客户端启动IP Proxy不能访问正常的IP网络资源,只能访问隔离区的服务器资源,或者接入设备提示客户端进入隔离区进行安全升级或直接下线。
步骤S408,如果客户端通过安全检查,则接入设备针对客户端引用安全访问控制表ACL。接入设备允许客户端访问其拥有的资源,其中,因为接入设备此时已经对访问权限进行了限制,因此该安全ACL可以使用许可IP。
步骤S409,在通过安全检查的客户端在线过程中,接入设备定期要求客户端进行安全检查,如果客户端未通过定期的安全检查,则通知该客户端进行安全升级或下线。这样就能够随时了解该客户端安全状态的变化,在该客户端不能满足安全标准的要求,不能通过安全检查后,对该客户端进行隔离限制,提示其进行安全升级或直接下线。
本发明实施例的技术方案具有以下优点,通过策略服务器对客户端进行安全状态检测,使得只有符合安全标准通过安全检查的客户端才能够被允许正常接入,未通过安全检查的客户端只能访问隔离区内的服务器资源,并通知未通过安全检查的客户端利用隔离区内的服务器资源进行安全升级。本发明实施例还可以在客户端通过了安全检查接入网络后,继续对该客户端进行监控,一旦发现该客户端存在安全隐患立刻通知该客户端进行安全升级或下线。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (19)
1、一种SSL VPN客户端安全检查方法,其特征在于,包括以下步骤:
接入设备向认证服务器转发客户端的身份认证请求;
在所述认证服务器确认所述客户端通过身份认证之后,所述接入设备将从策略服务器中接收的安全检查项下发给所述客户端,并通知所述客户端根据所述安全检查项进行安全检查;
判断所述客户端是否通过所述安全检查;
如果所述客户端未通过所述安全检查,则所述接入设备针对所述客户端引用隔离访问控制表ACL。
2、如权利要求1所述SSL VPN客户端安全检查方法,其特征在于,在判断所述客户端是否通过所述安全检查之后,还包括以下步骤:
如果所述客户端通过所述安全检查,则所述接入设备针对所述客户端引用安全ACL。
3、如权利要求1所述SSL VPN客户端安全检查方法,其特征在于,所述认证服务器具体为综合访问管理CAMS服务器,
在所述CAMS服务器确认所述客户端通过身份认证之后,还包括以下步骤:
所述CAMS服务器将所述策略服务器地址信息发送给所述客户端;
所述客户端根据接收的所述地址信息向所述策略服务器发起安全检查请求。
4、如权利要求3所述SSL VPN客户端安全检查方法,其特征在于,在所述客户端根据接收的所述地址信息向所述策略服务器发起安全检查请求之后,还包括以下步骤:
所述策略服务器从所述CAMS服务器中获取安全策略;
根据所述安全策略确定所述客户端的安全检查项,并下发给所述接入设备。
5、如权利要求1所述SSL VPN客户端安全检查方法,其特征在于,在所述认证服务器确认所述客户端通过身份认证之后,还包括以下步骤:
所述认证服务器向所述客户端发送身份认证回应信息;
所述客户端判断所述身份认证回应信息中是否有策略服务器的地址信息;
如果没有所述策略服务器的地址信息,则向所述接入设备发起安全检查请求。
6、如权利要求5所述SSL VPN客户端安全检查方法,其特征在于,在所述客户端向所述接入设备发起安全检查请求之后,还包括以下步骤:
所述接入设备代理所述客户端向策略服务器发起安全检查请求;
所述策略服务器从所述接入设备中获取安全策略;
根据所述安全策略确定所述安全检查项,并下发给所述接入设备。
7、如权利要求1所述SSL VPN客户端安全检查方法,其特征在于,在所述接入设备针对所述客户端引用隔离ACL之后还包括以下步骤:
提示所述客户端进行安全升级或下线。
8、如权利要求2所述SSL VPN客户端安全检查方法,其特征在于,在所述接入设备针对所述客户端引用安全ACL之后,还包括以下步骤:
在所述客户端在线过程中,定期要求所述客户端进行安全检查;
如果所述客户端未通过所述定期的安全检查,则通知所述客户端进行安全升级或下线。
9、如权利要求1所述SSL VPN客户端安全检查方法,其特征在于,在所述接入设备针对所述客户端引用隔离ACL之后,还包括以下步骤:
所述接入设备将所述隔离ACL转换成对应的隔离区IP资源。
10、如权利要求1所述SSL VPN客户端安全检查方法,其特征在于,在所述判断客户端是否通过所述安全检查之前,还包括以下步骤:
所述客户端根据安全检查项目进行安全检查后将安全检查结果发给所述策略服务器;
所述策略服务器根据接收到的所述安全检查结果判断所述客户端是否通过所述安全检查,并通知所述接入设备。
11、一种接入设备,其特征在于,包括身份认证请求处理模块,安全检查项下发模块,安全检查判断模块和ACL控制模块,
所述身份认证请求处理模块,用于向认证服务器转发客户端的身份认证请求;
所述安全检查项下发模块,用于在所述认证服务器确认所述客户端通过身份认证之后,将从策略服务器中接收的安全检查项下发给所述客户端,通知所述客户端根据所述安全检查项进行安全检查;
所述安全检查判断模块,用于判断所述客户端是否通过所述安全检查;
所述ACL控制模块,用于在所述安全检查判断模块判断所述客户端未通过所述安全检查时,针对所述客户端引用隔离访问控制表ACL。
12、如权利要求11所述接入设备,其特征在于,所述ACL控制模块进一步还用于在所述安全检查判断模块判断所述客户端通过所述安全检查时,针对所述客户端引用安全ACL。
13、如权利要求11所述接入设备,其特征在于,还包括配置信息保存模块,用于保存策略服务器地址信息、安全策略和安全、隔离ACL号。
14、如权利要求13所述接入设备,其特征在于,还包括客户端代理模块,用于在收到所述客户端的安全检查请求后,代理所述客户端向所述策略服务器请求安全检查。
15、如权利要求12或14所述接入设备,其特征在于,还包括定期通知模块,用于在所述安全检查判断模块判断所述客户端通过安全检查后,定期通知所述客户端进行安全检查。
16、如权利要求15所述接入设备,其特征在于,还包括提示模块,用于在所述安全检查判断模块判断所述客户端未通过安全检查后,提示所述客户端进行安全升级或下线。
17、如权利要求11所述接入设备,其特征在于,所述ACL控制模块还包括ACL转换子模块,用于将所述隔离ACL转换成对应的隔离区IP资源。
18、一种SSL VPN客户端安全检查系统,其特征在于,包括客户端、接入设备、认证服务器和策略服务器,
所述客户端,用于通过所述接入设备向所述认证服务器发起身份认证请求;
所述认证服务器,用于验证所述客户端是否通过身份认证,并通知所述接入设备;
所述接入设备,用于在所述认证服务器确认所述客户端通过身份认证之后,将从策略服务器中接收的安全检查项下发给所述客户端,通知所述客户端根据所述安全检查项进行安全检查,并在所述客户端未通过安全检查后针对所述客户端引用隔离访问控制表ACL;
所述策略服务器,用于根据安全策略确定所述客户端的安全检查项,并将所述安全检查项下发给所述接入设备。
19、如权利要求18所述SSL VPN客户端安全检查系统,其特征在于,还包括防病毒服务器和/或补丁服务器,用于在所述客户端未通过安全检查后,供所述客户端进行安全升级。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101302437A CN101072108B (zh) | 2007-07-17 | 2007-07-17 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101302437A CN101072108B (zh) | 2007-07-17 | 2007-07-17 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101072108A true CN101072108A (zh) | 2007-11-14 |
| CN101072108B CN101072108B (zh) | 2011-09-28 |
Family
ID=38899113
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101302437A Active CN101072108B (zh) | 2007-07-17 | 2007-07-17 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101072108B (zh) |
Cited By (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296228B (zh) * | 2008-06-19 | 2010-10-06 | 上海交通大学 | 基于流量分析的ssl vpn协议检测方法 |
| CN101989974A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种ssl vpn的内网web访问的安全控制方法 |
| CN102035803A (zh) * | 2009-09-29 | 2011-04-27 | 上海艾融信息科技有限公司 | 一种应用安全策略调整的方法、系统和装置 |
| CN102045353A (zh) * | 2010-12-13 | 2011-05-04 | 北京交通大学 | 一种公有云服务的分布式网络安全控制方法 |
| CN102143088A (zh) * | 2011-04-29 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的数据转发方法和设备 |
| CN102164136A (zh) * | 2011-04-14 | 2011-08-24 | 北京星网锐捷网络技术有限公司 | 安全管理方法、认证客户端、服务器及安全管理系统 |
| CN101631121B (zh) * | 2009-08-24 | 2011-12-28 | 杭州华三通信技术有限公司 | 一种端点准入防御中的报文控制方法及接入设备 |
| CN101277308B (zh) * | 2008-05-23 | 2012-04-18 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
| CN101557406B (zh) * | 2009-06-01 | 2012-04-18 | 杭州华三通信技术有限公司 | 一种用户终端的认证方法、装置及系统 |
| CN101562609B (zh) * | 2009-05-27 | 2012-06-27 | 西北大学 | Vpn网络安全漏洞检测全局准入控制系统 |
| CN102647419A (zh) * | 2012-04-06 | 2012-08-22 | 北京空间飞行器总体设计部 | 面向终端计算机的策略安全在线检查系统 |
| CN102663298A (zh) * | 2012-04-06 | 2012-09-12 | 北京空间飞行器总体设计部 | 面向终端计算机的安全在线检查系统 |
| CN102780702A (zh) * | 2012-07-30 | 2012-11-14 | 北京市计算中心 | 文件安全传输系统及方法 |
| CN101764788B (zh) * | 2008-12-23 | 2013-01-30 | 迈普通信技术股份有限公司 | 基于扩展802.1x认证系统的安全接入方法 |
| CN102984128A (zh) * | 2012-11-05 | 2013-03-20 | 中国电力科学研究院 | 一种基于网络的计算机信息保密检测方法 |
| CN103501229A (zh) * | 2013-09-27 | 2014-01-08 | 武钢集团昆明钢铁股份有限公司 | 一种基于供应链管理的电子商务平台安全认证系统及方法 |
| CN103548374A (zh) * | 2011-04-12 | 2014-01-29 | 西里克斯系统公司 | 远程地执行使用移动设备的地理位置数据的应用的服务器 |
| CN103944802A (zh) * | 2014-04-17 | 2014-07-23 | 杭州华三通信技术有限公司 | 控制移动设备使用Exchange邮箱的方法及装置 |
| CN104065660A (zh) * | 2014-06-27 | 2014-09-24 | 蓝盾信息安全技术有限公司 | 一种远程主机接入的控制方法 |
| WO2016019717A1 (zh) * | 2014-08-08 | 2016-02-11 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| CN105472617A (zh) * | 2015-06-24 | 2016-04-06 | 巫立斌 | 一种终端接入安全认证方法 |
| CN106101075A (zh) * | 2016-05-31 | 2016-11-09 | 上海连尚网络科技有限公司 | 一种实现安全访问的方法与设备 |
| CN106713360A (zh) * | 2017-02-15 | 2017-05-24 | 上海市共进通信技术有限公司 | 基于网关设备实现web加密访问及信息加密存储的方法 |
| WO2017161706A1 (zh) * | 2016-03-25 | 2017-09-28 | 中兴通讯股份有限公司 | 一种局域网内网资源的访问控制方法、装置及网关设备 |
| CN108616393A (zh) * | 2018-04-24 | 2018-10-02 | 杭州迪普科技股份有限公司 | 一种基于ldap服务器的认证方法和装置 |
| CN109495503A (zh) * | 2018-12-20 | 2019-03-19 | 新华三技术有限公司 | 一种ssl vpn认证方法、客户端、服务器及网关 |
| CN111338731A (zh) * | 2020-02-24 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 页面的显示方法、装置、计算机可读存储介质和计算机设备 |
| CN111897534A (zh) * | 2020-06-22 | 2020-11-06 | 北京天融信网络安全技术有限公司 | 一种访问sslvpn的方法、装置、电子设备及存储介质 |
| CN113225409A (zh) * | 2021-05-27 | 2021-08-06 | 北京天融信网络安全技术有限公司 | 一种nat负载均衡访问方法、装置及存储介质 |
| CN113347072A (zh) * | 2021-06-23 | 2021-09-03 | 北京天融信网络安全技术有限公司 | Vpn资源访问方法、装置、电子设备和介质 |
| CN114363001A (zh) * | 2021-12-06 | 2022-04-15 | 国网安徽省电力有限公司超高压分公司 | 基于离线配置的客户端访问限定的方法、系统及存储介质 |
| CN114513347A (zh) * | 2022-01-28 | 2022-05-17 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| CN114615309A (zh) * | 2022-01-18 | 2022-06-10 | 奇安信科技集团股份有限公司 | 客户端接入控制方法、装置、系统、电子设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2994831B1 (en) * | 2013-05-08 | 2020-03-18 | Convida Wireless, LLC | Method and apparatus for the virtualization of resources using a virtualization broker and context information |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100385885C (zh) * | 2004-07-09 | 2008-04-30 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
-
2007
- 2007-07-17 CN CN2007101302437A patent/CN101072108B/zh active Active
Cited By (50)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101277308B (zh) * | 2008-05-23 | 2012-04-18 | 杭州华三通信技术有限公司 | 一种隔离内外网络的方法、认证服务器及接入交换机 |
| CN101296228B (zh) * | 2008-06-19 | 2010-10-06 | 上海交通大学 | 基于流量分析的ssl vpn协议检测方法 |
| CN101764788B (zh) * | 2008-12-23 | 2013-01-30 | 迈普通信技术股份有限公司 | 基于扩展802.1x认证系统的安全接入方法 |
| CN101562609B (zh) * | 2009-05-27 | 2012-06-27 | 西北大学 | Vpn网络安全漏洞检测全局准入控制系统 |
| CN101557406B (zh) * | 2009-06-01 | 2012-04-18 | 杭州华三通信技术有限公司 | 一种用户终端的认证方法、装置及系统 |
| CN101989974A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种ssl vpn的内网web访问的安全控制方法 |
| CN101631121B (zh) * | 2009-08-24 | 2011-12-28 | 杭州华三通信技术有限公司 | 一种端点准入防御中的报文控制方法及接入设备 |
| CN102035803A (zh) * | 2009-09-29 | 2011-04-27 | 上海艾融信息科技有限公司 | 一种应用安全策略调整的方法、系统和装置 |
| CN102045353A (zh) * | 2010-12-13 | 2011-05-04 | 北京交通大学 | 一种公有云服务的分布式网络安全控制方法 |
| CN102045353B (zh) * | 2010-12-13 | 2013-06-19 | 北京交通大学 | 一种公有云服务的分布式网络安全控制方法 |
| CN103548374A (zh) * | 2011-04-12 | 2014-01-29 | 西里克斯系统公司 | 远程地执行使用移动设备的地理位置数据的应用的服务器 |
| CN102164136A (zh) * | 2011-04-14 | 2011-08-24 | 北京星网锐捷网络技术有限公司 | 安全管理方法、认证客户端、服务器及安全管理系统 |
| CN102164136B (zh) * | 2011-04-14 | 2014-08-27 | 北京星网锐捷网络技术有限公司 | 安全管理方法、认证客户端、服务器及安全管理系统 |
| CN102143088B (zh) * | 2011-04-29 | 2014-02-12 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的数据转发方法和设备 |
| CN102143088A (zh) * | 2011-04-29 | 2011-08-03 | 杭州华三通信技术有限公司 | 一种基于ssl vpn的数据转发方法和设备 |
| CN102647419A (zh) * | 2012-04-06 | 2012-08-22 | 北京空间飞行器总体设计部 | 面向终端计算机的策略安全在线检查系统 |
| CN102663298A (zh) * | 2012-04-06 | 2012-09-12 | 北京空间飞行器总体设计部 | 面向终端计算机的安全在线检查系统 |
| CN102647419B (zh) * | 2012-04-06 | 2014-08-27 | 北京空间飞行器总体设计部 | 面向终端计算机的策略安全在线检查系统 |
| CN102663298B (zh) * | 2012-04-06 | 2014-12-17 | 北京空间飞行器总体设计部 | 面向终端计算机的安全在线检查系统 |
| CN102780702A (zh) * | 2012-07-30 | 2012-11-14 | 北京市计算中心 | 文件安全传输系统及方法 |
| CN102984128A (zh) * | 2012-11-05 | 2013-03-20 | 中国电力科学研究院 | 一种基于网络的计算机信息保密检测方法 |
| CN102984128B (zh) * | 2012-11-05 | 2016-02-24 | 中国电力科学研究院 | 一种基于网络的计算机信息保密检测方法 |
| CN103501229A (zh) * | 2013-09-27 | 2014-01-08 | 武钢集团昆明钢铁股份有限公司 | 一种基于供应链管理的电子商务平台安全认证系统及方法 |
| CN103501229B (zh) * | 2013-09-27 | 2017-02-01 | 武钢集团昆明钢铁股份有限公司 | 一种基于供应链管理的电子商务平台安全认证系统进行安全认证的方法 |
| CN103944802A (zh) * | 2014-04-17 | 2014-07-23 | 杭州华三通信技术有限公司 | 控制移动设备使用Exchange邮箱的方法及装置 |
| CN103944802B (zh) * | 2014-04-17 | 2017-07-04 | 新华三技术有限公司 | 控制移动设备使用Exchange邮箱的方法及装置 |
| CN104065660A (zh) * | 2014-06-27 | 2014-09-24 | 蓝盾信息安全技术有限公司 | 一种远程主机接入的控制方法 |
| WO2016019717A1 (zh) * | 2014-08-08 | 2016-02-11 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| CN105337831B (zh) * | 2014-08-08 | 2018-10-09 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| CN105337831A (zh) * | 2014-08-08 | 2016-02-17 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| US10375025B2 (en) | 2014-08-08 | 2019-08-06 | Huawei Technologies Co., Ltd. | Virtual private network implementation method and client device |
| CN105472617A (zh) * | 2015-06-24 | 2016-04-06 | 巫立斌 | 一种终端接入安全认证方法 |
| WO2017161706A1 (zh) * | 2016-03-25 | 2017-09-28 | 中兴通讯股份有限公司 | 一种局域网内网资源的访问控制方法、装置及网关设备 |
| CN106101075A (zh) * | 2016-05-31 | 2016-11-09 | 上海连尚网络科技有限公司 | 一种实现安全访问的方法与设备 |
| CN106101075B (zh) * | 2016-05-31 | 2018-02-02 | 上海连尚网络科技有限公司 | 一种实现安全访问的方法与设备 |
| CN106713360B (zh) * | 2017-02-15 | 2020-05-08 | 上海市共进通信技术有限公司 | 基于网关设备实现web加密访问及信息加密存储的方法 |
| CN106713360A (zh) * | 2017-02-15 | 2017-05-24 | 上海市共进通信技术有限公司 | 基于网关设备实现web加密访问及信息加密存储的方法 |
| CN108616393A (zh) * | 2018-04-24 | 2018-10-02 | 杭州迪普科技股份有限公司 | 一种基于ldap服务器的认证方法和装置 |
| CN109495503A (zh) * | 2018-12-20 | 2019-03-19 | 新华三技术有限公司 | 一种ssl vpn认证方法、客户端、服务器及网关 |
| CN109495503B (zh) * | 2018-12-20 | 2021-11-12 | 新华三技术有限公司 | 一种ssl vpn认证方法、客户端、服务器及网关 |
| CN111338731A (zh) * | 2020-02-24 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 页面的显示方法、装置、计算机可读存储介质和计算机设备 |
| CN111897534B (zh) * | 2020-06-22 | 2023-11-10 | 北京天融信网络安全技术有限公司 | 一种访问sslvpn的方法、装置、电子设备及存储介质 |
| CN111897534A (zh) * | 2020-06-22 | 2020-11-06 | 北京天融信网络安全技术有限公司 | 一种访问sslvpn的方法、装置、电子设备及存储介质 |
| CN113225409A (zh) * | 2021-05-27 | 2021-08-06 | 北京天融信网络安全技术有限公司 | 一种nat负载均衡访问方法、装置及存储介质 |
| CN113347072A (zh) * | 2021-06-23 | 2021-09-03 | 北京天融信网络安全技术有限公司 | Vpn资源访问方法、装置、电子设备和介质 |
| CN114363001A (zh) * | 2021-12-06 | 2022-04-15 | 国网安徽省电力有限公司超高压分公司 | 基于离线配置的客户端访问限定的方法、系统及存储介质 |
| CN114615309A (zh) * | 2022-01-18 | 2022-06-10 | 奇安信科技集团股份有限公司 | 客户端接入控制方法、装置、系统、电子设备及存储介质 |
| CN114615309B (zh) * | 2022-01-18 | 2024-03-15 | 奇安信科技集团股份有限公司 | 客户端接入控制方法、装置、系统、电子设备及存储介质 |
| CN114513347A (zh) * | 2022-01-28 | 2022-05-17 | 新华三技术有限公司 | 一种终端认证方法及装置 |
| CN114513347B (zh) * | 2022-01-28 | 2023-10-27 | 新华三技术有限公司 | 一种终端认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101072108B (zh) | 2011-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101072108B (zh) | 一种ssl vpn客户端安全检查方法、系统及其装置 | |
| KR101788495B1 (ko) | 지역/홈 네트워크를 위한 보안 게이트 | |
| CN102271132B (zh) | 一种访问网络权限的控制方法、系统及客户端 | |
| US6374298B2 (en) | System for performing remote operation between firewall-equipped networks or devices | |
| CN101809519B (zh) | 在服务技师与可以远程诊断和/或可以远程维护的自动化环境的故障组件之间建立安全连接的方法 | |
| CN102523218B (zh) | 一种网络安全防护方法、设备和系统 | |
| CN109479056B (zh) | 用于建立到工业自动化系统的安全的通信连接的方法和防火墙系统 | |
| US20140165182A1 (en) | System for secure transfer of information from an industrial control system network | |
| CN104335546A (zh) | 使用邻居发现来为其它应用创建信任信息 | |
| CN103916490B (zh) | 一种域名系统dns防篡改方法及装置 | |
| KR20150069027A (ko) | 하드웨어 관리 인터페이스 | |
| CN102045337A (zh) | 用于管理网络资源的装置和方法 | |
| CN101355459B (zh) | 一种基于可信协议的网络监控方法 | |
| EP2986042B1 (en) | Client, server, and remote authentication dial in user service capability negotiation method and system | |
| CN104168339A (zh) | 防止域名劫持的方法及设备 | |
| CN107257332A (zh) | 大型防火墙集群中的定时管理 | |
| CN105392137A (zh) | 家庭wifi防盗用的方法、无线路由器及终端设备 | |
| CN102185867A (zh) | 一种实现网络安全的方法和一种星形网络 | |
| CN102045310A (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN116760652B (zh) | 用于同时访问多个系统的方法、装置以及存储介质 | |
| CN101771529B (zh) | 终端装置、中继装置和处理方法 | |
| CN109547397B (zh) | 网络安全管理系统 | |
| CN108574660A (zh) | 一种获取ip地址的方法及系统 | |
| Bae et al. | Network access control and management using ARP spoofing in various windows environment | |
| CN116886442B (zh) | 用于异地访问保险公司系统的方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address |