CN101369995A - 一种基于安全可信连接技术的拨号网关 - Google Patents
一种基于安全可信连接技术的拨号网关 Download PDFInfo
- Publication number
- CN101369995A CN101369995A CNA200810123724XA CN200810123724A CN101369995A CN 101369995 A CN101369995 A CN 101369995A CN A200810123724X A CNA200810123724X A CN A200810123724XA CN 200810123724 A CN200810123724 A CN 200810123724A CN 101369995 A CN101369995 A CN 101369995A
- Authority
- CN
- China
- Prior art keywords
- module
- client
- access control
- dial
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于安全可信连接技术的拨号网关,其特征在于,所述VPN服务端总控模块还包括网络层访问控制子模块,用于客户端接入进行了网络层的访问控制,包括按地址、端口、协议的访问控制;应用层访问控制子模块,用于针对应用层协议进行安全代理解析、过滤,禁止用户执行预先设置的一些不属于其角色授权的命令和参数;所述客户端安全扫描模块还包括安全策略通讯子模块,用于安全策略传送到客户端安全扫描模块,由所述客户端安全扫描模块建立客户端的扫描初始环境及服务器端的可信分析验证标准。
Description
技术领域
本发明涉及一种对远程拨号实体进行身份鉴别、可信接入、网络层及应用层的访问控制的装置,尤其是涉及一种基于安全可信连接技术的拨号网关。
背景技术
对于远程拨号用户实体的身份鉴别认证及访问控制,一般有以下几种典型方式。
一种是通过拨号服务器提供拨号接入的方式,由管理员建立一个拨号账户及口令,分配相应访问权限及IP地址,用户接入时采用CHAP或MS-CHAP协议等进行认证。这是目前使用最多也最为普遍的方式,一般利用操作系统(如win2000,win2k系统)本身提供的拨号客户端功能即可实现,其缺点是用户名口令的验证强度太低,且连接全过程均为明文方式传输,数据易被窃听及篡改,
一种是通过vpn加拨号客户端方式,先进行拨号客户端接入,然后进行证书认证并建立vpn加密隧道。由于采用数字证书认证加密,具有一定的安全性,但认证过程相对繁琐,用户必须先手工拨号建立连接,再利用vpn软件进行客户端证书认证。而且大多数vpn软件对客户端实体的主机环境的安全性、运行状态及行为未进行充分的评估和检测,对用户访问内部主机服务的应用层报文没有监听和过滤,这样,容易造成非法病毒、木马等流入内网,用户的误操作或有意的恶意攻击也会给内网安全造成隐患。
最后一种为专用安全拨号网关方式,硬件主机上集成了Modem接口及网络接口,软件上集成了拨号接入和vpn接入的功能,对用户进行基于数字证书的拨号接入认证。中国专利200710026465.4公开了“一种拨号安全网关装置”,包括一个或一个以上的调制解调器(1)、计算机主板(2)、网卡接口(3)、USB外接口(5)、电话线接口(6)、电源(7),所述计算机主板(2)上装置有CPU(23)、内存条(25)、存储卡(24)、网卡(22)、USB接口(21)、串口(20),所述电话线接口(6)与所述调制解调器(1)相连接,所述调制解调器(1)通过所述串口(20)与所述计算机主板(2)相连接,所述网卡(22)通过所述网卡接口(3)与内部网相连接,所述USB接口(21)与所述USB外接口(5)相连接,其特征在于:它还包括管理与配置模块装置(8),用于配置所述拨号安全网关装置和各拔号用户的静态IP,将各拔号用户的用户名、密码以及静态IP进行绑定;PPP网络接入模块装置(9),用于远程客户端通过电话线拨打所述拨号安全网关装置的电话号码和所述拨号安全网关装置建立通讯联接;身份验证模块装置(10),用于远程客户端与所述拨号安全网关装置的相互身份验证;VPN模块装置(11),用于提供所述拔号安全网关装置与远程客户端之间通讯数据的加密,用于远程客户端访问与所述拔号安全网关装置相连接的内部网的多台主机。
但该专利所述装置同样对客户端安全可信接入考虑不够完善,没有针对特定用户角色的安全接入与访问控制措施,也没有对客户端的访问行为进行应用层协议(如telnet/ftp等)的解析、过滤,没有详细的用户行为审计功能,尤其是特定应用协议的操作命令和参数的记录,因此,具有一定的安全风险。
发明内容
1、发明目的
本发明的主要目的在于针对现有技术的不足,提供一种安全性更高、访问控制技术更为完备的,具有安全可信连接技术的拨号网关,在硬件组成上集成了拨号服务接入及vpn网关的功能,同时又采用了安全可信接入技术,对用户除进行基于数字证书的身份鉴别外,对客户端的接入环境进行动态地监测评估及动态的接入控制。对客户端接入既进行了网络层的访问控制(地址、端口、协议),又针对应用层协议(telnet/ftp)进行了安全代理解析、过滤,禁止用户执行预先设置的一些不属于其角色授权的命令和参数,以最大程度降低用户对应用系统访问所造成的安全风险。
2、技术方案
本系统提供的硬件设计方案包括:采用嵌入式系统主板(10),包含了CPU单元(1)、内存(2)、存储器(3)及硬件看门狗模块(4),存储器提供系统程序及配置参数的加密存储,硬件看门狗模块提供对系统运行状态的监控,当出现异常时及时进行系统复位,使系统恢复正常。
系统还包括电源模块(7)、一个或一个以上的网络接口模块(5)、一个或一个以上的Modem接口模块(6),以分别连接内部网络提供服务的资源服务器和PSTN公用电话交换网络。系统的外围接口模块还包括电源及网络接口状态指示灯(8)、Modem接口状态指示灯(9),用于对系统的电源状态、网络通断链接、Modem通断链接等进行实时指示监控,详细构成见图1所示。
系统软件组成主要分客户端模块和服务器端模块两部分。系统根据用户角色统一制定可信认证和访问授权策略,并利用后台的决策数据库进行数据的统一存储、查询。
客户端的PPP客户端模块(1)用于和服务器端的PPP服务器模块(2)建立拨号的初始连接,连接成功后,客户端利用数字证书和服务器端的VPN总控模块(4)进行相互的身份认证,成功后利用彼此的密钥协商子模块(5)和(6)进行相互的密钥协商,并建立加密隧道以顺利进行后续的通讯交互过程。服务器利用以上过程中从用户数字证书中得到的角色名称查询访问控制决策数据库(11),将得到的安全策略定义及访问控制规则反馈给VPN服务端总控模块(4),并分别发送给服务器端的可信分析与验证模块(12)、客户端安全策略通讯子模块(14)、网络层访问控制子模块(8)、应用层访问控制子模块(9)。由(14)将安全策略传送到客户端安全扫描模块(13),以分别建立客户端的扫描初始环境及服务器端的可信分析验证标准。然后,由(13)进行动态地定时安全扫描,并将结果通过VPN加密隧道发送到服务器端,由服务器端进行可信分析验证,以决定允许接入还是拒绝接入。
如果允许接入,则接着进行后续的处理过程。模块(8)、(9)已经获得了该角色的访问控制策略,因此既可以对其进行基于网络协议的地址、端口、协议等过滤,也可以由(9)中的应用协议代理程序进行应用协议解析、过滤,防止该用户执行非法指令破坏内网系统资源(15),从而达到保护内网系统的目的。
该过程中,所有客户端和服务端的数据都通过了VPN隧道加密,不可窃听及篡改,同时,行为安全审计子模块(10)通过统一的日志输出接口记录了用户操作行为的所有日志及所有系统模块的运行信息,以达到安全审计的目的,便于事后追查责任和修补漏洞,提升系统安全性。
3、有益效果
通过集成拨号客户端及vpn应用,方便了远程拨号用户的使用。对各种客户端系统环境接入时的安全性、运行状态和行为的可信评估、检测,降低了不可信客户端对系统进行非法访问的可能。基于用户角色制定的接入和访问授权策略,分别对网络层及应用层协议进行了严格的访问控制、过滤,减少了用户执行危险指令及参数的风险以及可能的黑客攻击,提高了整个系统的安全性。
附图说明
图1是本发明的硬件结构框图
图2是本发明的系统软件结构框图
具体实施方式
下面结合附图和实例对本发明作进一步说明:
从图1、图2可以看出,远程拨号人员通过安全拨号接入软件先和拨号网关进行拨号及vpn连接(该过程通过客户端软件自动进行),然后,通过和服务器端使用数字证书进行彼此的身份验证,然后进行密钥协商加密,建立通讯的安全加密隧道。
然后,拨号网关根据该用户角色查询对应安全策略,并通过服务器安全接入组件和客户端安全接入组件进行通讯,在客户端进行安全扫描,对系统内核版本及补丁版本、防火墙软件及防病毒软件、重要进程信息等进行综合扫描评估,并反馈给网关侧。网关侧根据该用户角色的既定策略进行综合评价仲裁,并反馈信息给客户端。如果允许该用户接入,则对用户和拨号网关通讯过程中的网络协议、端口、地址等进行过滤、对用户访问内网资源使用的应用协议如telnet/ftp等进行关键字过滤,禁止该用户执行超出其权限的命令及参数,防止对应用系统的非法使用。
客户端安全接入后,其安全接入组件仍然按照一定的时间间隔进行客户端系统安全运行状态的扫描,并定时发送给服务器的通讯组件,一旦客户端的运行状态发生了改变,并经过服务器端仲裁,可能存在安全风险时,由服务器端断开客户端的连接,以保护内网应用资源。
客户端和服务端进行通讯的整个过程都是通过证书认证之后建立的vpn隧道进行的,可以有效保证避免传统拨号方式数据明文传输易被窃听篡改的安全隐患;用户的整个访问过程由各软件模块通过安全审计模块进行用户行为的日志记录审计,便于事后追查责任和进行安全加固。
Claims (2)
1.一种基于安全可信连接技术的拨号网关,包括调制解调器、计算机主板、存储装置、接口设备、服务端总控模块、PPP服务端模块、可信分析与验证模块、,其特征在于VPN客户端模块、PPP客户端模块、客户端安全扫描模块,其特征在于,所述VPN服务端总控模块还包括
网络层访问控制子模块,用于客户端接入进行了网络层的访问控制,包括按地址、端口、协议的访问控制;
应用层访问控制子模块,用于针对应用层协议进行安全代理解析、过滤,禁止用户执行预先设置的一些不属于其角色授权的命令和参数;
所述客户端安全扫描模块还包括安全策略通讯子模块,用于安全策略传送到客户端安全扫描模块,由所述客户端安全扫描模块建立客户端的扫描初始环境及服务器端的可信分析验证标准。
2.根据权利要求1所述的一种基于安全可信连接技术的拨号网关,其特征在于,所述VPN服务端总控模块和所述客户端安全扫描模块还包括密钥协商加密子模块,用于建立加密隧道以顺利进行后续的通讯交互过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA200810123724XA CN101369995A (zh) | 2008-05-30 | 2008-05-30 | 一种基于安全可信连接技术的拨号网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA200810123724XA CN101369995A (zh) | 2008-05-30 | 2008-05-30 | 一种基于安全可信连接技术的拨号网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101369995A true CN101369995A (zh) | 2009-02-18 |
Family
ID=40413621
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA200810123724XA Pending CN101369995A (zh) | 2008-05-30 | 2008-05-30 | 一种基于安全可信连接技术的拨号网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101369995A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2458193A (en) * | 2008-03-12 | 2009-09-16 | Comodo Ca Ltd | Performing security and vulnerability scans on devices behind a network security device |
| CN102035847A (zh) * | 2010-12-14 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 用户访问行为处理方法、系统和客户端 |
| CN102413144A (zh) * | 2011-12-05 | 2012-04-11 | 中国电力科学研究院 | 一种用于c/s架构业务的安全接入系统及相关接入方法 |
| CN102932244A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN106453355A (zh) * | 2016-10-25 | 2017-02-22 | 东软集团股份有限公司 | 数据分析方法及装置 |
| CN110213225A (zh) * | 2019-04-22 | 2019-09-06 | 重庆金融资产交易所有限责任公司 | 基于数据分析的网关配置方法、装置及计算机设备 |
| US11012464B2 (en) * | 2018-12-10 | 2021-05-18 | Securitymetrics, Inc. | Network vulnerability assessment |
| CN115696332A (zh) * | 2022-12-29 | 2023-02-03 | 中国信息通信研究院 | 基于跨层零信任的5g边缘计算安全访问控制系统和方法 |
-
2008
- 2008-05-30 CN CNA200810123724XA patent/CN101369995A/zh active Pending
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2458193A (en) * | 2008-03-12 | 2009-09-16 | Comodo Ca Ltd | Performing security and vulnerability scans on devices behind a network security device |
| GB2458193B (en) * | 2008-03-12 | 2012-07-25 | Comodo Ca Ltd | Method and system for performing security and vulnerability scans on devices behind a network security device |
| CN102035847B (zh) * | 2010-12-14 | 2014-03-12 | 华为数字技术(成都)有限公司 | 用户访问行为处理方法、系统和客户端 |
| CN102035847A (zh) * | 2010-12-14 | 2011-04-27 | 成都市华为赛门铁克科技有限公司 | 用户访问行为处理方法、系统和客户端 |
| CN102413144B (zh) * | 2011-12-05 | 2015-08-05 | 中国电力科学研究院 | 一种用于c/s架构业务的安全接入系统及相关接入方法 |
| CN102413144A (zh) * | 2011-12-05 | 2012-04-11 | 中国电力科学研究院 | 一种用于c/s架构业务的安全接入系统及相关接入方法 |
| CN102932244A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN102932244B (zh) * | 2012-10-25 | 2015-08-12 | 中国航天科工集团第二研究院七〇六所 | 基于双向可信性验证的可信接入网关 |
| CN106453355A (zh) * | 2016-10-25 | 2017-02-22 | 东软集团股份有限公司 | 数据分析方法及装置 |
| US11012464B2 (en) * | 2018-12-10 | 2021-05-18 | Securitymetrics, Inc. | Network vulnerability assessment |
| CN110213225A (zh) * | 2019-04-22 | 2019-09-06 | 重庆金融资产交易所有限责任公司 | 基于数据分析的网关配置方法、装置及计算机设备 |
| CN115696332A (zh) * | 2022-12-29 | 2023-02-03 | 中国信息通信研究院 | 基于跨层零信任的5g边缘计算安全访问控制系统和方法 |
| CN115696332B (zh) * | 2022-12-29 | 2023-04-11 | 中国信息通信研究院 | 基于跨层零信任的5g边缘计算安全访问控制系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109831327B (zh) | 基于大数据分析的ims全业务网络监视智能化运维支撑系统 | |
| CN101369995A (zh) | 一种基于安全可信连接技术的拨号网关 | |
| CN100553242C (zh) | 基于网关、网桥防范网络钓鱼网站的方法 | |
| CN101355459B (zh) | 一种基于可信协议的网络监控方法 | |
| CN103501228A (zh) | 一种动态二维码令牌及动态二维码口令认证方法 | |
| CN101588360A (zh) | 内部网络安全管理的相关设备及方法 | |
| CN112149123B (zh) | 一种应用程序的安全检查系统及方法 | |
| Avolio et al. | A network perimeter with secure external access | |
| CN102111349A (zh) | 安全认证网关 | |
| CN111314381A (zh) | 安全隔离网关 | |
| CN111277607A (zh) | 通信隧道模块、应用监控模块及移动终端安全接入系统 | |
| CN102882857A (zh) | 客户端装置、加密存储装置、远程访问方法及系统 | |
| CN109309645A (zh) | 一种软件分发安全保护方法 | |
| CN115150208A (zh) | 一种基于零信任的物联网终端安全接入方法及系统 | |
| CN202652534U (zh) | 移动终端安全接入平台 | |
| CN110087238B (zh) | 一种移动电子设备信息安全保护系统 | |
| Lieskovan et al. | Smart grid security: Survey and challenges | |
| CN103618613A (zh) | 网络接入控制系统 | |
| CN101022482A (zh) | 一种拨号安全网关装置 | |
| Carter et al. | Intrusion prevention fundamentals | |
| CN102970276A (zh) | 基于隔离技术的电力专用移动终端安全工作的实现方法 | |
| CN108809938B (zh) | 一种密码设备的远程管控实现方法及系统 | |
| CN202004770U (zh) | 一种支持客户端环境可信分析决策技术的安全拨号系统 | |
| CN116248405A (zh) | 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质 | |
| CN107231365B (zh) | 一种取证的方法及服务器以及防火墙 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Lin Weimin Inventor after: Zhang Tao Inventor after: Yu Gang Inventor after: Qin Chao Inventor after: Yang Weiyong Inventor after: Zhao Fu Inventor before: Yu Gang Inventor before: Lin Feng |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: INVENTOR; FROM: YU GANG LIN FENG TO: LIN WEIMIN ZHANG TAO YU GANG QIN CHAO YANG WEIYONG ZHAO FU |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20090218 |