CN101242324B - 一种基于ssl协议的远程安全接入方法和系统 - Google Patents
一种基于ssl协议的远程安全接入方法和系统 Download PDFInfo
- Publication number
- CN101242324B CN101242324B CN2007100637931A CN200710063793A CN101242324B CN 101242324 B CN101242324 B CN 101242324B CN 2007100637931 A CN2007100637931 A CN 2007100637931A CN 200710063793 A CN200710063793 A CN 200710063793A CN 101242324 B CN101242324 B CN 101242324B
- Authority
- CN
- China
- Prior art keywords
- ssl
- security switch
- security
- breaking piece
- application system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及网络安全技术领域,提供一种基于SSL协议的远程安全接入方法和系统。其中的系统包括安全连接器、Internet公网和安全交换机,安全交换机部署在Internet公网上,安全连接器部署在内网或者内网边界,所述安全交换机接收来自安全连接器的网络连接并构建SSL通道,将来自一个安全连接器的数据转发给另外一个已经连接的安全连接器,构成“安全交换”模式。通过本发明,只需在Internet上部署一个或者少量的安全交换机,企业只需部署安全连接器,就可以实现应用系统的远程安全接入,简化了部署,降低了成本。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于SSL协议的远程安全接入方法和系统。
背景技术
当前大多数的网络应用系统,无论其基于B/S还是C/S构架,也无论其运行在Intranet还是Internet网络环境中,当其对于应用系统数据的传输产生机密性和完整性等安全需求时,一种常用的解决方法是基于SSL协议的SSL VPN技术,结合强身份认证、授权和访问控制等机制,实施身份认证、加密传输和访问控制等安全保护。
SSL VPN自身架构本质上是C/S模式,即SSL VPN客户端(如果浏览器直接采用浏览器内置的SSL或者TLS模块,则浏览器本身就是SSL VPN客户端)向SSL VPN网关(相对SSL VPN客户端而言是服务器)发起网络连接请求,然后在SSLVPN客户端和SSLVPN网关之间构成安全通道,应用系统的数据则通过此安全通道进行加密传输,并同时通过SSL VPN客户端和SSL VPN网关完成数据的中继。
目前SSL VPN的C/S架构存在一个缺陷,就是一般要求SSL VPN客户端必须通过Internet公网能够访问到SSL VPN安全网关,比如需要SSL VPN安全网关有Internet公网地址,或者需要其他接入设备、防火墙和网关做端口映射或者网络连接重定向等处理,这就限制了SSLVPN的应用。
发明内容
本发明正是为了解决上述问题而提出的,本发明提供一种基于SSL协议的远程安全接入方法和系统。
本发明的方法包括如下步骤:
S1:安全交换机部署在Internet公网,准备就绪;
S2:服务器安全连接器部署在企业或者组织内部,主动连接安全交换机,并建立SSL通道;
S3:应用系统客户端通过安全连接器和公网安全交换机向应用系统服务器发送请求信息;
S4:应用系统服务器通过安全连接器和公网安全交换机将应答数据返回给应用系统客户端。
其中,应用系统客户端通过安全连接器和公网安全交换机向应用系统服务器发送请求信息的过程具体包括以下步骤:
S31:应用系统客户端向应用系统服务器发起连接请求;
S32:客户端安全连接器截获此连接请求,主动连接安全交换机,并建立SSL通道;
S33:应用系统客户端向应用系统服务器发送请求数据;
S34:客户端安全连接器截获此请求数据,通过客户端安全连接器和安全交换机的SSL通道发送给安全交换机;
S35:安全交换机交换请求数据;
S36:安全交换机通过安全交换机和服务器安全连接器的SSL通道发送请求数据给服务器安全连接器;
S37:服务器安全连接器收到请求数据,主动连接应用系统服务器,将请求数据发送给应用系统服务器。
应用系统服务器通过安全连接器和公网安全交换机将应答数据返回给应用系统客户端的过程具体包括以下步骤:
S41:应用系统服务器处理请求,生成应答数据,将应答数据返回给服务器安全连接器;
S42:服务器安全连接器将应答数据通过安全交换机和服务器安全连接器的SSL通道返回给安全交换机;
S43:安全交换机交换应答数据,通过客户端安全连接器和安全交换机的SSL通道返回给客户端安全连接器;
S44:客户端安全连接器将应答数据返回给应用系统客户端。
优选的,安全交换机和安全连接器采用安全标记来进行交换处理;所述安全标记包含的信息有:源安全连接器标记和目的安全连接器标记,标记可以携带安全连接器本身的标识。域名、地址和端口信息,也可以携带应用服务器的标识、域名、地址、地址范围、类型、端口信息,或者携带用户的身份、角色和权限信息。
本发明提供的基于SSL协议的远程安全接入系统包括安全连接器、Internet公网和安全交换机,所述安全交换机设置在Internet公网上。
其中在所述安全交换机接收来自安全连接器的连接请求,将来自一个安全连接器的数据转发给另外一个已经连接的安全连接器,构成“安全交换”模式。
其中,安全交换机从不主动向安全连接器发起网络连接,都是接收来自安全连接器的网络连接请求并与安全连接器构建SSL通道,然后通过已经构建的SSL通道来完成数据传输。
优选的,安全连接器负责向安全交换机发起网络连接并与安全交换机构建SSL通道,通过SSL通道向安全交换机发送数据,通过SSL通道从安全交换机接收交换结果数据。
优选的,安全连接器和安全交换机之间采用SSL或者TLS协议,这些基于SSL或者TLS协议的连接,通过单向证书或者通过双向证书完成身份认证。
本发明相对于现有的SSL VPN等远程安全接入方法和系统相比较,可以为多个企业或者组织提供可运营的远程安全接入服务,企业或者组织通过部署安全连接器,就可以满足远程安全接入的需求,而不需要拥有固定或者动态的公网地址,也不用购买独立的安全网关等复杂的远程安全接入软硬件设备和系统。
附图说明
图1是SSL VPN示意图;
图2是基于SSL协议的安全交换技术示意图;
图3是客户端安全连接器连接示意图;
图4是服务器安全连接器连接示意图;
图5是本发明的典型部署模式示意图;
图6是本发明的另一典型部署模式示意图;
图7是本发明的方法流程图。
图中:实线表示明文连接,虚线表示SSL或TLS连接。箭头表示网络连接方向。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
本发明提出的“基于SSL协议的安全交换技术”引入安全交换的概念,提出了一个更广泛和更一般的安全互联和安全接入方法,更合理地解决了应用系统的远程安全接入问题。“基于SSL协议的安全交换技术”中的SSL协议,包括SSLv2、SSLv3、TLSv1以及SSL和TLS协议的其他各种版本。
“基于SSL协议的安全交换技术”有两个组成部分,一个称为安全交换机,一个称为安全连接器。安全交换机接收来自安全连接器的连接请求并构建SSL通道,将来自一个安全连接器的数据转发给另外一个已经连接的安全连接器,构成“安全交换”模式。安全连接器负责向安全交换机发起网络连接并与安全交换机构建SSL通道,通过SSL通道向安全交换机发送数据,通过SSL通道从安全交换机接收交换结果数据。安全连接器和安全交换机之间采用SSL或者TLS协议,这些基于SSL或者TLS协议的连接,可以通过单向证书完成身份认证,也可以通过双向证书完成身份认证。“基于SSL协议的安全交换技术”示意图如图2所示。
这里安全交换机和安全连接器从形态上讲,指满足“基于SSL协议的安全交换技术”的程序或者安装这个程序的软硬件系统。
安全连接器有两种模式,一种是客户端的安全连接器,简称客户端安全连接器。客户端安全连接器部署在应用系统客户端或者分支机构内部。客户端安全连接器接收并处理来自应用系统客户端的网络连接和数据,主动连接安全交换机,并与安全交换机建立SSL或者TLS通道,通过安全通道向安全交换机发送数据,并通过安全通道接收安全交换机交换回来的数据。客户端安全连接器示意图如图3所示。
如果直接采用浏览器来访问安全交换机,则浏览器本身就是既是应用系统客户端,同时也是客户端安全连接器。
另外一种是服务器端的安全连接器,简称服务器安全连接器。服务器安全连接器部署在应用系统的服务器端或者总部机构网络内部。服务器安全连接器主动连接安全交换机并建立SSL安全通道,通过安全通道接收来自安全交换机的数据,再根据相关的标记和配置分别连接不同的真实目的应用服务器,向应用服务器发送数据,然后将应用服务器返回的应答数据通过安全通道发送给安全交换机。服务器安全连接器示意图如图4所示。客户端安全连接器和服务器安全连接器可以合并在一起使用,对应用系统起到双向对等的安全连接保护。
图2、3、4的箭头表示网络连接的发起方向,而一旦网络建立连接后,应用系统的数据传输可以是双向的。其中实线表示明文连接,虚线表示SSL或TLS连接。
“基于SSL协议的安全交换技术”要求安全连接器能够访问安全交换机,服务器安全连接器能够访问应用系统服务器。安全交换机一般部署在公网;服务器安全连接器一般部署在内网或者直接部署在应用系统服务器上,并以串联或者并联的方式通过网络接入到内网边界和应用服务器之间;客户端安全连接器部署在应用系统的客户端上,或者部署在分支机构网络内部或分支机构网络边界处。典型的部署模式如图5、图6所示,其中箭头表示网络连接的发起方向,应用系统的数据传输可以是双向的。
“基于SSL协议的安全交换技术”的关键点在于,安全交换机从不主动向安全连接器发起网络连接,都是接收来自安全连接器的网络连接请求并与安全连接器构建SSL安全通道,然后通过已经构建的安全通道来完成数据传输。这就是“安全交换”的概念。
SSL VPN需要企业提供从Internet接入SSLVPN网关的能力,这就限制了SSL VPN的应用。“基于SSL协议的安全交换技术”则提供全新的交换模式,通过在Internet上部署一个或者少量的安全交换机,每个企业只需通过部署安全连接器,就可以实现应用系统的远程安全接入,简化了部署,降低了成本。
安全交换机和安全连接器采用安全标记来进行交换处理,安全标记包含的信息有:源安全连接器标记和目的安全连接器标记。标记可以携带安全连接器本身的标识、域名、地址和端口等信息,也可以携带应用服务器的标识、域名、地址、地址范围、类型、端口和端口范围等信息,还可以携带用户的身份、角色和权限等信息。
安全标记还包括安全交换所需要的其他相关信息。
本发明的具体工作流程如图7所示,首先,安全交换机部署在Internet公网,准备就绪(步骤S1);然后,服务器安全连接器部署在企业或者组织内部,主动连接安全交换机,并建立SSL通道(步骤S2);应用系统客户端通过安全连接器和公网安全交换机向应用系统服务器发送请求信息(步骤S3);应用系统服务器通过安全连接器和公网安全交换机将应答数据返回给应用系统客户端(S4)。
其中,步骤S3具体又包括以下步骤:应用系统客户端向应用系统服务器发起连接请求(步骤S31);客户端安全连接器截获此连接请求,主动连接安全交换机,并建立SSL通道(步骤S32);应用系统客户端向应用系统服务器发送请求数据(步骤S33);客户端安全连接器截获此请求数据,通过客户端安全连接器和安全交换机的SSL通道发送给安全交换机(步骤S34);安全交换机交换请求数据(步骤S35);安全交换机通过安全交换机和服务器安全连接器的SSL通道发送请求数据给服务器安全连接器(步骤S36);服务器安全连接器收到请求数据,主动连接应用系统服务器,将请求数据发送给应用系统服务器(步骤S37)。
步骤S4具体又包括以下步骤:应用系统服务器处理请求,生成应答数据,将应答数据返回给服务器安全连接器(步骤S41);服务器安全连接器将应答数据通过安全交换机和服务器安全连接器的SSL通道返回给安全交换机(步骤S42);安全交换机交换应答数据,通过客户端安全连接器和安全交换机的SSL通道返回给客户端安全连接器(步骤S43);客户端安全连接器将应答数据返回给应用系统客户端(步骤S44)。
虽然本发明是具体结合一个优选实施例示出和说明的,但熟悉该技术领域的人员可以理解,其中无论在形式上还是在细节上都可以作出各种改变,这并不背离本发明的精神实质和专利保护范围。
Claims (9)
1.一种基于SSL协议的远程安全接入方法,其特征在于,该方法包括如下步骤:
S1:安全交换机部署在Internet公网,准备就绪;
S2:服务器安全连接器部署在企业或者组织内部,主动连接安全交换机,并建立SSL通道;
S3:应用系统客户端通过安全连接器和公网安全交换机向应用系统服务器发送请求数据;
S4:应用系统服务器通过安全连接器和公网安全交换机将应答数据返回给应用系统客户端。
2.如权利要求1所述的基于SSL协议的远程安全接入方法,其特征在于应用系统客户端通过安全连接器和公网安全交换机向应用系统服务器发送请求数据的过程具体包括以下步骤:
S31:应用系统客户端向应用系统服务器发起连接请求;
S32:客户端安全连接器截获此连接请求,主动连接安全交换机,并建立SSL通道;
S33:应用系统客户端向应用系统服务器发送请求数据;
S34:客户端安全连接器截获此请求数据,通过客户端安全连接器和安全交换机的SSL通道发送给安全交换机;
S35:安全交换机交换请求数据;
S36:安全交换机通过安全交换机和服务器安全连接器的SSL通道发送请求数据给服务器安全连接器;
S37:服务器安全连接器收到请求数据,主动连接应用系统服务器,将请求数据发送给应用系统服务器。
3.如权利要求1所述的基于SSL协议的远程安全接入方法,其特征在于应用系统服务器通过安全连接器和公网安全交换机将应答数据返回给应用系统客户端的过程具体包括以下步骤:
S41:应用系统服务器处理请求数据,生成应答数据,将应答数据返回给服务器安全连接器;
S42:服务器安全连接器将应答数据通过安全交换机和服务器安全连接器的SSL通道返回给安全交换机;
S43:安全交换机交换应答数据,通过客户端安全连接器和安全交换机的SSL通道返回给客户端安全连接器;
S44:客户端安全连接器将应答数据返回给应用系统客户端。
4.如权利要求2或3所述的基于SSL协议的远程安全接入方法,其特征在于安全交换机和安全连接器采用安全标记来进行交换处理;所述安全标记包含的信息有:源安全连接器标记和目的安全连接器标记,标记能够携带安全连接器本身的标识、域名、地址和端口信息,也能够携带应用系统服务器的标识、域名、地址、地址范围、类型、端口信息,或者携带用户的身份、角色和权限信息。
5.如权利要求2或3所述的基于SSL协议的远程安全接入方法,其特征在于所述安全连接器和安全交换机之间采用SSL或者TLS协议,这些基于SSL或者TLS协议的连接,通过单向证书或者通过双向证书完成身份认证。
6.一种基于SSL协议的远程安全接入系统,包括安全连接器、Internet公网和安全交换机,其特征在于,所述安全交换机设置在Internet公网上,所述安全连接器部署在企业或者组织内部,其中,
所述安全连接器负责主动向安全交换机发起网络连接,并与所述安全交换机构建SSL通道,通过SSL通道向安全交换机发送数据,通过SSL通道从安全交换机接收交换结果数据;
所述安全交换机接收来自所述安全连接器的连接请求并构建SSL通道,将来自一个安全连接器的数据转发给另外一个已经连接的安全连接器,构成“安全交换”模式。
7.如权利要求6所述的基于SSL协议的远程安全接入系统,其特征在于安全交换机和安全连接器采用安全标记来进行交换处理;所述安全标记包含的信息有:源安全连接器标记和目的安全连接器标记,标记能够携带安全连接器本身的标识、域名、地址和端口信息,也能够携带应用系统服务器的标识、域名、地址、地址范围、类型、端口信息,或者携带用户的身份、角色和权限信息。
8.如权利要求6所述的基于SSL协议的远程安全接入系统,其特征在于安全交换机从不主动向安全连接器发起网络连接,都是接收来自安全连接器的网络连接请求并与安全连接器构建SSL通道,然后通过已经构建的SSL通道来完成数据传输。
9.如权利要求6所述的基于SSL协议的远程安全接入系统,其特征在于所述安全连接器和安全交换机之间采用SSL或者TLS协议,这些基于SSL或者TLS协议的连接,通过单向证书或者通过双向证书完成身份认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100637931A CN101242324B (zh) | 2007-02-09 | 2007-02-09 | 一种基于ssl协议的远程安全接入方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100637931A CN101242324B (zh) | 2007-02-09 | 2007-02-09 | 一种基于ssl协议的远程安全接入方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101242324A CN101242324A (zh) | 2008-08-13 |
| CN101242324B true CN101242324B (zh) | 2010-08-11 |
Family
ID=39933547
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100637931A Expired - Fee Related CN101242324B (zh) | 2007-02-09 | 2007-02-09 | 一种基于ssl协议的远程安全接入方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101242324B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101964800B (zh) * | 2010-10-21 | 2015-04-22 | 神州数码网络(北京)有限公司 | 一种在ssl vpn中对数字证书用户认证的方法 |
| CN103379009B (zh) * | 2012-04-20 | 2017-02-15 | 南京易安联网络技术有限公司 | 基于数据链路层的ssl vpn通信方法 |
| CN104980419B (zh) * | 2014-09-11 | 2019-04-09 | 腾讯科技(深圳)有限公司 | 一种代理通信方法及装置 |
| CN105282153B (zh) * | 2015-09-30 | 2019-06-04 | 北京奇虎科技有限公司 | 一种实现数据传输的方法及终端设备 |
| CN106921552A (zh) * | 2015-12-25 | 2017-07-04 | 航天信息股份有限公司 | 终端、网关及隧道复用系统 |
| CN107294935B (zh) * | 2016-04-11 | 2020-05-19 | 深信服科技股份有限公司 | 虚拟专用网络访问方法、装置和系统 |
| WO2018095416A1 (zh) | 2016-11-24 | 2018-05-31 | 腾讯科技(深圳)有限公司 | 信息处理方法、装置及系统 |
| CN108111473B (zh) * | 2016-11-24 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 混合云统一管理方法、装置和系统 |
| CN106713360B (zh) * | 2017-02-15 | 2020-05-08 | 上海市共进通信技术有限公司 | 基于网关设备实现web加密访问及信息加密存储的方法 |
| CN107295312A (zh) * | 2017-08-10 | 2017-10-24 | 上海辰锐信息科技公司 | 一种基于ssl vpn的无线视频安全接入系统 |
| CN108337249A (zh) * | 2018-01-19 | 2018-07-27 | 论客科技(广州)有限公司 | 一种数据安全传输方法、系统与装置 |
| CN111953707A (zh) * | 2020-08-24 | 2020-11-17 | 成都卫士通信息产业股份有限公司 | Ssl vpn系统及数据传输方法、系统和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571330A (zh) * | 2004-04-30 | 2005-01-26 | 中国科学院软件研究所 | 应用协议数据安全交换的方法 |
| CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
-
2007
- 2007-02-09 CN CN2007100637931A patent/CN101242324B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571330A (zh) * | 2004-04-30 | 2005-01-26 | 中国科学院软件研究所 | 应用协议数据安全交换的方法 |
| CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 胡敏.让IPv4与IPv6互联互通——联想万兆城域网解决方案.中国计算机用户 9.2004,(9),A12. |
| 胡敏.让IPv4与IPv6互联互通——联想万兆城域网解决方案.中国计算机用户 9.2004,(9),A12. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101242324A (zh) | 2008-08-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101242324B (zh) | 一种基于ssl协议的远程安全接入方法和系统 | |
| CN101809519B (zh) | 在服务技师与可以远程诊断和/或可以远程维护的自动化环境的故障组件之间建立安全连接的方法 | |
| CN101437022B (zh) | 服务器发起的安全网络连接 | |
| US6823454B1 (en) | Using device certificates to authenticate servers before automatic address assignment | |
| CN100568800C (zh) | 用于安全远程访问的系统和方法 | |
| CN1302634C (zh) | 网络连接系统 | |
| CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| CN1586065B (zh) | 利用网络地址转换的对等网络通信方法、设备及系统 | |
| CN111262692B (zh) | 基于区块链的密钥分发系统和方法 | |
| CN102035904A (zh) | 一种将tcp网络通信服务端转换为客户端的方法 | |
| CN102769529A (zh) | Dnssec签名服务器 | |
| US20130081112A1 (en) | Global Terminal Management Using 2-Factor Authentication | |
| CN109413201A (zh) | Ssl通信方法、装置及存储介质 | |
| CN101138219A (zh) | 应用与客户机之间的通信方法 | |
| US20110078784A1 (en) | Vpn system and method of controlling operation of same | |
| CN101637004B (zh) | 用于通信系统中的前缀可达性的方法 | |
| CN102857520A (zh) | 一种字符终端Telnet协议安全访问系统及方法 | |
| CN104902470A (zh) | 一种基于动态密钥的无线热点的接入控制方法及系统 | |
| CN103731410A (zh) | 虚拟网络构建系统、方法、小型终端及认证服务器 | |
| JP2006217446A (ja) | 遠隔会議システム | |
| CN108769029A (zh) | 一种对应用系统鉴权认证装置、方法及系统 | |
| US20070098175A1 (en) | Security enabler device and method for securing data communications | |
| CN106130862A (zh) | 一种多个分布式路由器的虚拟专用网络的管理方法和系统 | |
| CN110247803A (zh) | 一种针对网络管理协议SNMPv3的协议优化架构及其方法 | |
| CN113259381A (zh) | 一种基于区块链与ibc相结合的智慧医疗跨域认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: BEIJING LEADSEC TECHNOLOGY CO.,LTD. Free format text: FORMER NAME: LENOVO NET DEFENSE TECHNOLOGY (BEIJING) CO., LTD. |
|
| CP03 | Change of name, title or address |
Address after: 100086, room 801-810, CLP information building, 6 South Avenue, Beijing, Haidian District, Zhongguancun Patentee after: Beijing Leadsec Technology Co.,Ltd. Address before: 100086, 4 floor, CLP information building, 6 South Avenue, Haidian District, Beijing, Zhongguancun Patentee before: Lenovo Wangyu Technology (Beijing) Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100811 Termination date: 20160209 |