CN101447907A - Vpn安全接入方法及系统 - Google Patents
Vpn安全接入方法及系统 Download PDFInfo
- Publication number
- CN101447907A CN101447907A CNA2008102256337A CN200810225633A CN101447907A CN 101447907 A CN101447907 A CN 101447907A CN A2008102256337 A CNA2008102256337 A CN A2008102256337A CN 200810225633 A CN200810225633 A CN 200810225633A CN 101447907 A CN101447907 A CN 101447907A
- Authority
- CN
- China
- Prior art keywords
- vpn
- vpn client
- client
- access
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,提供一种VPN安全接入方法和系统及其VPN客户端。其中的VPN安全接入方法是在VPN客户端中采用硬件设备Key,VPN客户端向网络侧发起接入请求,接入请求经所述硬件设备Key签名和加密;网络侧接收到所述接入请求后,对VPN客户端进行身份认证,认证通过后,与VPN客户端建立安全通道;VPN客户端通过硬件设备Key以及安全通道与网络侧进行安全业务交互。本发明将安全接入、高强度用户身份认证以及计时计费模块无缝集成在一起,提供了一整套的安全接入解决方案,在保证网络安全的同时降低了系统部署和运行维护的难度,大大方便了用户的使用。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种VPN(虚拟专用网络)网络安全接入方法及系统。
背景技术
对于许多大型分布式系统来说,比如国家某部委关键电子政务业务系统,要面向许多不同需求、不同规模的用户,应用系统数量多,有多种不同的技术架构。既有基于B/S的业务系统,也有基于C/S的业务系统。此类系统由于处理业务的特殊性和用户的广泛性,对安全性要求较高。
目前企业通过Internet实现安全接入的方式主要有IPSec(IPSecurity)VPN和SSL(Security Socket Layer)VPN两种,两种技术在不同领域各有其优势。在实施固定的网络到网络的VPN和复杂应用的用户安全接入时,采用IPSec VPN技术更为合适;在实施普通应用的移动用户接入时,采用SSL VPN技术更合适,原因是SSL VPN无需在终端用户安装客户端软件、实施和维护较为简单,总体拥有成本较低。
IPSec是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH(AuthenticationHeader)和ESP(Encapsulating Security Payload)这两个安全协议来实现,此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
从概念角度来说,SSL VPN即指采用SSL协议来实现远程接入的一种新型VPN技术。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用。正因为SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSL VPN就可以免于安装客户端。相对于传统的IPSEC VPN而言,SSL VPN具有部署简单,无客户端,维护成本低,网络适应强等特点,这两种类型的VPN之间的差别就类似C/S构架和B/S构架的区别。
目前VPN安全接入技术(包括IPSec VPN和SSL VPN)已经非常成熟,并在许多企事业单位广泛使用。VPN接入时常用的用户认证方式是用户名和口令,事实证明这种方式强度较弱,容易被人复制和猜测,安全性较低。有的VPN产品支持第三方CA证书认证,但更多的是采用软证书,即用户证书是以文件的方式存储在电脑硬盘,仍然存在安全隐患。当然目前也有少部分VPN产品使用了硬件设备Key来存储用户证书和私钥信息,并完成密钥生成和签名等操作,其安全性在一定程度上较前两种用户认证方式有了较大的提高。不过熟悉安全领域的人士会发现其还有一个不足,就是VPN在传输安全数据时,数据的加解密过程因速度等原因无法通过硬件Key来完成,只能靠计算机软件来完成,只要是软件完成的工作,就有可能受到攻击,存在安全问题。
现有VPN接入系统的缺点是:
数据加解密是以软件方式实现,安全强度不够高;
数据加解密算法通常采用国际上通用的标准算法(如DES等)或者早期的国产加解密算法(如SSF33等),对最新的国产算法SCB2支持的很少;
用户的身份认证采用常用的用户名和口令方式,安全等级较低。有的虽然支持第三方证书认证,但大多是以文件的方式存储用户证书,仍然存在安全隐患;
安全接入、用户身份认证以及计时计费等系统相互独立,系统部署、运行维护成本较高;
用户必须手工进行VPN拨号,然后才能访问受VPN保护的业务系统,不能实现IE浏览器自动识别。
发明内容
针对上述问题,本发明的目的就是要进一步地提高安全接入系统的安全等级,完全满足涉及国家安全、高度机密的电子政务对安全产品和服务的要求。
本发明提供一种VPN安全接入方法,在VPN客户端中采用硬件设备Key;该方法还包括:
所述VPN客户端向网络侧发起接入请求,所述接入请求经所述硬件设备Key签名和加密;
网络侧接收到所述接入请求后,对所述VPN客户端进行身份认证,认证通过后,与所述VPN客户端建立安全通道;
所述VPN客户端通过硬件设备Key以及所述安全通道与网络侧进行安全业务交互。
优选的,VPN客户端向网络侧发起的接入请求由用户触发发起,或者,由VPN客户端根据所连接的网址自动启动。
优选的,网络侧通过第三方对所述VPN客户端进行身份认证。
对VPN客户端身份认证通过后,进一步包括:判断所述VPN客户端是否满足访问条件,若满足再执行后续操作,否则结束。
相应地,一种VPN安全接入系统,包括:
VPN网关,用于将接收到的来自VPN客户端的接入请求发送给安全认证模块,将身份认证结果返回给所述VPN客户端;当所述身份认证结果为认证通过时,与所述VPN客户端建立安全通道;
安全认证模块,用于根据接收到的接入请求对所述VPN客户端进行身份认证,给所述VPN网关返回身份认证结果;
包含硬件设备Key的VPN客户端,用于向网络侧发起接入请求,所述接入请求经所述硬件设备Key加密;通过硬件设备Key以及所述安全通道与业务系统进行安全业务交互;
业务系统,用于与所述VPN客户端通过所述安全通道进行安全业务交互。
另一方面,本发明还提供一种VPN客户端,包括:
安全接入请求单元,用于向VPN网关发起安全接入请求,经过客户端身份认证,虚拟地址分配以及访问权限检查后,触发安全通道建立单元进行下一步工作;
安全通道建立单元,用于在VPN客户端与VPN网关之间建立安全通道;
发送单元,用于将待发送数据传送给硬件设备Key进行加密和认证,并将加密后重新打包的数据通过安全通道发送出去;
接收单元,用于将经安全通道接收到的加密安全业务数据传递给硬件设备Key进行解密和认证,然后呈现给用户;
硬件设备Key,用于存储VPN客户端安全信息以及完成各种安全算法,并对接收到的待加密信息进行加密,将加密后的信息传送给发送单元;将接收到的加密安全业务数据进行解密,将解密后的安全业务数据传送给接收单元;
通道管理单元,用于安全通道的监管和维护
与现有技术相比,本发明具有以下优点:
现有的技术虽然也能够建立VPN安全通道,在公共网络上实现虚拟专用网,从而达到安全接入目的。但本发明与之相比,完全通过硬件方式实现安全加解密,其安全等级明显要高。同时采用国产最新加解密算法SCB2,对与涉及国家安全的重要信息系统而言是非常必须的。
现有的安全接入系统中,安全接入、安全认证以及计费均属于不同的系统组成部分,根据功能需要集成在一起,有的还需要进行二次开发,系统结构复杂,系统部署和运行维护难度较高。而本发明所提供的不同系统无缝集成的一整套解决方案,相对而言其购买成本和后期的维护成本要低许多。
附图说明
图1是根据本发明实施例所述系统的VPN拓扑示意图;
图2是根据本发明实施例的工作原理示意图;
图3是本发明实施例VPN客户端的逻辑结构示意图;
图4表示本发明实施例的VPN客户端认证流程示意图;
图5表示根据本发明实施例的业务流程示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明的一个实施以服务于国家某部委关键电子政务业务系统为基础,该业务系统是一个用户数量庞大而且分布于全国各地的系统,同时业务系统数量较多,技术架构也不尽相同,既有B/S类型的系统,也有C/S的系统,因此需要尽量提高其系统的安全性。目前企业通过Internet实现安全接入的方式主要有IPSec VPN和SSL VPN两种,在下面的实施例中以IPSec VPN为例来对本发明的VPN的安全接入方案进行说明。
本发明提供的“VPN的安全接入方案”是实现Internet接入企业核心业务网的一整套安全接入解决方案。本实施例的基于IPSec协议的VPN网络安全接入系统主要由五个部分组成,即VPN客户端、VPN网关、安全认证模块、计时计费模块以及业务系统;其中,为了说明上的方便,在本发明中,VPN客户端又被称作“客户端侧”,而相对于VPN客户端来说的其它部分(VPN网关、安全认证模块、计时计费模块以及业务系统)均被称为“网络侧”。
首先,用户启动VPN客户端进行拨号,然后由安全认证模块进行身份认证,再由计时计费模块进行时间和费用的检查和记录,最后与VPN网关之间建立一条安全可靠的VPN安全通道。客户端可以通过该VPN安全通道访问受VPN网关保护的业务系统。在本发明的一个具体实施例中,业务系统指的就是国家某部委关键电子政务业务系统。由于本实施例是基于IPSec协议实现的,因此在以下的表述中,“VPN安全通道”也被称作“IPSec安全通道”。
为了正确封装及提取IPSec数据报,需要采取一套专门的方案,将安全服务和(或)密钥与要保护的通信数据联系到一起;同时要将远程通信实体与要交换密钥的IPSec数据传输联系到一起。
VPN安全通道的建立采用IPSec协议,VPN客户端首先与VPN网关进行连接以获取虚拟IP地址、权限、隧道参数等信息,然后客户端与VPN网关之间进行IKE(Internet Key Exchange,密钥交换)SA协商,再进行IPSec SA协商,从而建立起安全可靠的VPN隧道。VPN网关收到客户端的请求后,通过调用安全认证模块基于Soap(简单对象访问协议)标准协议的webservice服务进行身份认证,然后再通过webservice方式访问计费模块。计费模块采用接入端计时、计费端结算的模式,通过实时通知与批量处理结合的方式,保证计时、计费服务的准确、可靠。
IKE的用途就是在IPSec通信双方之间建立起共享的安全参数及验证过的密钥。运用IPSec进行安全通信的步骤是:①建立IKE SA;②在已经建立好的IKE SA上建立IPSec SA;③在已经建立好的IPSec SA上,进行实际的通信;④通信完毕,撤消IPSec SA;⑤当此IKE SA上的所有IPSec SA都撤消以后,最后撤消IKE SA。
图1和图2分别是根据本发明实施例的VPN拓扑图和工作原理示意图,下面将结合图1和图2分别对本发明所述系统的各个部分组成及工作流程作详细说明:
(1)VPN客户端和采用高速、安全芯片的Key
图1中企业1与企业2由于终端设备和所需处理数据量规模的不同而采取了不同的安全接入方式:企业1采取IPSec下的VPN客户端软件的安全接入方式,企业2采取IPSec下的VPN网关的安全接入方式,但两者的工作原理实际上是类似的。本发明中重点以采取IPSec下的VPN客户端软件的安全接入方式为例进行说明。
VPN客户端包括安全接入请求单元、安全通道建立单元、发送单元、接收单元、通道管理单元和硬件设备Key。
其中,安全接入请求单元用于向VPN网关发起安全接入请求,并将接入请求发送给硬件设备Key进行签名和加密与VPN网关完成身份认证,认证通过后,客户端获取VPN网关分配的虚拟地址并检查访问权限后,触发安全通道建立单元进行下一步工作。安全通道建立单元用于与VPN网关进行进行IKE协商,在VPN客户端与VPN网关(网络侧)之间建立安全通道;硬件设备Key,用于VPN客户端数据的加解密,具体来讲,就是对接收到的待加密信息进行加密,将加密后的信息传送给发送单元;将接收到的加密安全业务数据进行解密,将解密后的安全业务数据传送给业务数据处理单元。VPN客户端数据的加解密均在硬件设备Key内部进行。
发送单元,用于将来自硬件设备Key的加密后的信息通过安全通道发送出去;接收单元,用于通过安全通道接收来自VPN网关(网络侧)的已加密的安全业务数据,将所述已加密的安全业务数据传递给硬件设备Key。
通道管理单元,用于设置保活时间,完成通道的保活等安全通道监管和维护功能。具体来说,在VPN客户端在建立安全通道的过程中和安全通道建立后,通道管理单元实施实时监测、管理安全通道的建立和运行状况,如:安全通道内的数据流量、拥挤状况以及长时间没有数据流量时安全通道自动关闭等;如果某条安全通道发生故障或者过度拥挤,通道管理单元将选择其他可替代安全通道继续进行安全数据的传输,实现安全通道的自动切换等。
此外,在本发明的另一优选实施例中,VPN客户端还包括通道识别单元,用于根据配置信息判别VPN客户端所连接的网址是否涉及安全业务,当连接网址涉及安全业务时,触发安全接入请求单元,建立安全通道进行安全业务数据的传输;当VPN客户端所连接的网址仅涉及普通业务时,则不需要触发安全接入请求单元,直接按照通用方式进行普通网络传输即可。这样就保证了当用户没有主动发起接入请求时启动安全接入而直接访问安全业务时的访问安全性。图3所示为包括通道识别单元VPN客户端的逻辑示意结构图。
在企业1端,用户启动VPN客户端向VPN网关发起安全接入请求。VPN客户端采用面向对象的C++语言开发,并与Key硬件设备进行通信,通过Key硬件设备中的与安全相关的数据信息进行身份认证和数据加解密操作。其中的认证流程如图4所示,按照开始身份认证、获取KeyID、发送认证请求、接收认证结果、生成签名CA随即串、发送Key签名信息、接收虚拟IP和分配权限、由DHCP(动态主机分配协议)分配虚地址的顺序逐步进行认证操作。
在此,Key是安全介质,用于存储所有安全相关的数据,如证书、密钥等,并执行如签名、验签和数据加解密等的各种安全算法。它基于国内首款拥有全自主知识产权的SSX45密码安全芯片,满足信息安全处理中针对信息提出的机密性、完整性、可用性、可控性等高安全性需求。该芯片基于国产32位CPU核,支持RSA、ECC非对称密码算法和SSF33、SCB2对称密码算法,通过内部硬件设计的公钥加速引擎和其他硬件算法模块实现高性能的信息加解密运算,采用SOC(System on Chip片上系统)的芯片结构和其他的非凡安全处理模块实现了信息处理的高安全性。
本发明所采用的上述数据加解密采用高速芯片、以硬件方式实现的安全措施,使得所有的安全相关数据以及签名、加解密等安全算法过程全部在硬件Key内部完成,外界无法干预,因此确保了加解密过程的绝对安全。
(2)VPN网关
VPN网关是企业受保护的业务系统的入口,也是连接VPN客户端和安全认证模块以及计费模块的桥梁。它的主要作用是与VPN客户端进行协商,并建立VPN安全通道。同时在本发明中,VPN网关、安全认证模块和计时计费模块三方是无缝集成的,即VPN网关通过基于SOAP标准协议的WebService服务与安全认证模块和计费模块进行通信,实现安全接入、用户身份认证和计时计费的无缝集成。本发明中所述的“无缝集成”指不同模块均是在同一开发框架下实现的,采用同样的数据传输标准和实现方式,模块间的交互不需要任何协议或者数据格式等方面的转换即可直接进行。而且,不同的模块既可以部署在同一台物理服务器,也可以部署在不同的物理服务器中。
(3)安全认证与计时计费模块
安全认证模块作为一个第三方的CA证书认证中心,它接受VPN网关的用户证书认证请求,并提供高效、安全的证书认证服务。其主要功能完成随机数的生成、签名验签、证书有效性查询以及证书更新等。本平台以标准的Webservice服务接口对外提供服务,基于J2EE的分布式系统,具有较高的可靠性、稳定性和安全性。
本发明在用户身份认证方面,无缝集成了安全认证模块,将用户证书和密钥信息存储在高速芯片内,VPN客户端通过VPN网关与安全认证模块完成双向认证,对非法接入用户杜绝进入,在访问控制层进一步提高系统的安全性。
计时计费模块的功能主要是实现对合法的安全接入用户的访问控制,并对使用时间、流量进行实时监控。其计时计费策略可以通过配置文件进行灵活配置,具有较强的可配置性和可扩展性。本系统对外提供Webservice服务接口,基于J2EE的分布式系统,具有高可靠性、稳定性和安全性。计费模块是本发明一个优选实施例的配置,在不需要对合法安全接入用户进行时间、流量方面的访问控制时,也可以不使用计时计费模块。
根据图2所示,本发明基于IPSec协议的VPN网络安全接入系统的工作原理描述如下:
(1)客户端在访问受保护业务系统之前,首先通过Internet网络发起接入请求;
(2)VPN网关先对发起接入请求的客户端进行身份认证,本发明采用可信的第三方CA证书认证,认证强度高,安全可靠;
(3)认证返回,如果认证通过,则进行第(4)步,否则返回认证错误信息后退出;
(4)通知计时计费模块,启动对该客户端的计时计费工作,其中包括对客户端是否有可用时间的判断;
(5)计时计费模块返回响应信息;
(6)如果计时计费模块返回正确的响应信息,表示该客户端尚具有可用时间,则进行第(7)步,建立IPSec VPN安全通道,如果计时计费模块返回错误信息则退出;
(7)客户端与VPN网关之间建立IPSec安全通道;
(8)IPSec安全通道建立完毕,返回等待用户进一步的操作;
(9)如果用户需要访问受保护的安全业务,如本例的国家某部委电子政务业务系统,VPN客户端自动识别用户要访问的业务安全性,并强制所有有关安全业务的数据走IPSec安全通道,利用硬件Key的高速芯片完成加解密和认证过程。因此,在这一过程中,所有数据均被保护,高度安全。
(10)业务系统从IPSec安全通道中返回响应数据。
以上(1)~(10)仅仅表示客户端在主动发起接入请求启动安全接入情况下的工作流程;当用户没有主动发起接入请求启动安全接入情况下而直接访问安全业务时,设置在客户端的通道识别模块,能够根据用户访问的网址自动识别安全业务所要求的安全级别,从而启动VPN安全接入请求,建立IPSec安全通道以供安全业务数据的传输。当然,如果用户访问的是普通业务,则不需要启动安全接入、建立安全通道,直接使用普通的网络传输方式就可以了。
另一方面,图2所示的(11)、(12)两步操作是用户通过网络访问普通业务的工作方式,和现有的网络接入方式相同,如果用户访问普通业务,则不走IPSec安全通道,走普通Internet网络通道进行访问;响应数据从普通Internet网络通道返回。
图5是本发明的业务流程示意图,表示用户在主动启动安全接入情况下的具体工作流程,该流程所示的主要步骤与图2所示的工作原理步骤基本一致,如步骤:用户插入Key、启动VPN客户端、VPN客户端向VPN网关发起连接请求,对应于图2中的(1)用户客户端通过Internet网络进行VPN拨号;步骤:VPN客户端向安全认证模块发起认证请求、安全认证模块进行身份认证,对应于图2中的(2)VPN网关对拨号用户进行身份认证。因此对于图5的具体工作流程,本领域技术人员可以根据前面实施例的描述扩展所得,在此不再赘述。
实现安全接入的方法有很多,比如专线接入,光纤接入等等,但这些方式成本昂贵,不适合用户数量较大,且分布较为分散的系统。而目前尚未发现使用硬件实现加解密的安全接入产品应用于利用Internet公共网络实现安全接入的技术。在此基础上,本发明高度重视最终用户的使用体验,尽量简化系统的操作,给用户使用本系统提供尽可能的方便。这主要体现在两个方面:第一、对于安全接入服务提供商而言,本发明将安全接入、高强度的用户身份认证以及计费系统高度集成在一起,形成一整套的安全接入解决方案,大大方便了用户的部署和运行维护,同时也降低了系统采购的成本;第二、对于VPN客户端的最终用户而言,本发明通过通道识别模块,能够自动识别用户访问Internet时,是否需要进行VPN拨号,建立安全通道。如果需要,则自动发起安全接入请求完成安全通道的建立过程,对用户是透明的。这样方便了用户的使用,增强了用户的体验感受。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,比如也可以采用SSL VPN的安全接入方式以类似的技术手段来实现本发明目的。因此,凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1、一种VPN安全接入方法,其特征在于,在VPN客户端中采用硬件设备Key;所述方法还包括:
所述VPN客户端向网络侧发起接入请求,所述接入请求经所述硬件设备Key签名和加密;
网络侧接收到所述接入请求后,对所述VPN客户端进行身份认证,认证通过后,与所述VPN客户端建立安全通道;
所述VPN客户端通过硬件设备Key以及所述安全通道与网络侧进行安全业务交互。
2、根据权利要求1所述的VPN安全接入方法,其特征在于,所述VPN客户端根据所连接的网址自动触发接入请求,或者,所述VPN客户端向网络侧发起的接入请求由用户触发发起。
3、根据权利要求1所述的VPN安全接入方法,其特征在于,所述网络侧通过第三方对所述VPN客户端进行身份认证。
4、根据权利要求1所述的VPN安全接入方法,其特征在于,所述对VPN客户端身份认证通过后,进一步包括:判断所述VPN客户端是否满足访问条件,若满足再执行后续操作,否则结束。
5、根据权利要求1所述的VPN安全接入方法,其特征在于,所述VPN客户端通过硬件设备Key以及所述安全通道与网络侧进行安全业务交互的步骤包括:
所述VPN客户端将待发送业务数据通过所述硬件设备Key加密后,再通过所述安全通道发送至网络侧;
所述VPN客户端由接收单元通过所述安全通道接收来自网络侧的业务数据,将所述接收到的业务数据通过所述硬件设备Key解密后,呈现给用户。
6、一种VPN安全接入系统,其特征在于,该系统包括:
VPN网关,用于将接收到的来自VPN客户端的接入请求发送给安全认证模块,将身份认证结果返回给所述VPN客户端;当所述身份认证结果为认证通过时,与所述VPN客户端建立安全通道;
安全认证模块,用于根据接收到的接入请求对所述VPN客户端进行身份认证,给所述VPN网关返回身份认证结果;
包含硬件设备Key的VPN客户端,用于向网络侧发起接入请求,所述接入请求经所述硬件设备Key加密;通过硬件设备Key以及所述安全通道与业务系统进行安全业务交互;
业务系统,用于与所述VPN客户端通过所述安全通道进行安全业务交互。
7、根据权利要求6所述的VPN安全接入系统,其特征在于,所述系统还包括:计时计费模块,
所述VPN网关,接收到来自所述安全认证模块返回的身份认证通过结果后,通知计时计费模块,接收到来自所述计时计费模块的满足访问条件的通知时,再与所述VPN客户端建立安全通道;接收到来自所述计时计费模块的不满足访问条件的通知时,结束;
所述计时计费模块,用于接收来自所述VPN网关的计时计费请求,判断所述VPN客户端是否满足访问条件,通知所述VPN网关返回判断结果。
8、根据权利要求7所述的VPN安全接入系统,其特征在于,所述VPN网关通过同一协议与安全认证模块和计时计费模块进行通信,实现VPN网关、安全认证模块和计时计费模块三方的无缝集成。
9、一种VPN客户端,其特征在于,该VPN客户端包括:
安全接入请求单元,用于向VPN网关发起安全接入请求,经过客户端身份认证,虚拟地址分配以及访问权限检查后,触发安全通道建立单元进行下一步工作;
安全通道建立单元,用于在VPN客户端与VPN网关之间建立安全通道;
发送单元,用于将待发送数据传送给硬件设备Key进行加密和认证,并将加密后重新打包的数据通过安全通道发送出去;
接收单元,用于将经安全通道接收到的加密安全业务数据传递给硬件设备Key进行解密和认证,然后呈现给用户;
硬件设备Key,用于存储VPN客户端安全信息以及完成各种安全算法,并对接收到的待加密信息进行加密,将加密后的信息传送给发送单元;将接收到的加密安全业务数据进行解密,将解密后的安全业务数据传送给接收单元;
通道管理单元,用于安全通道的监管和维护。
10、根据权利要求9所述的VPN客户端,进一步包括:
通道识别单元,用于确认所述VPN客户端所连接的网址涉及安全业务时,触发安全接入请求单元;所述VPN客户端所连接的网址不涉及安全业务时,进行普通网络传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102256337A CN101447907A (zh) | 2008-10-31 | 2008-10-31 | Vpn安全接入方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102256337A CN101447907A (zh) | 2008-10-31 | 2008-10-31 | Vpn安全接入方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101447907A true CN101447907A (zh) | 2009-06-03 |
Family
ID=40743325
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008102256337A Pending CN101447907A (zh) | 2008-10-31 | 2008-10-31 | Vpn安全接入方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101447907A (zh) |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102170451A (zh) * | 2011-05-17 | 2011-08-31 | 深信服网络科技(深圳)有限公司 | 一种vpn客户端接入方法和装置 |
| CN102348210A (zh) * | 2011-10-19 | 2012-02-08 | 迈普通信技术股份有限公司 | 一种安全性移动办公的方法和移动安全设备 |
| CN102868698A (zh) * | 2012-09-24 | 2013-01-09 | 汉柏科技有限公司 | 用于网络的防御方法及系统 |
| CN102984130A (zh) * | 2011-11-08 | 2013-03-20 | 陈嘉贤 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
| CN102984045A (zh) * | 2012-12-05 | 2013-03-20 | 网神信息技术(北京)股份有限公司 | 虚拟专用网的接入方法及虚拟专用网客户端 |
| CN103117998A (zh) * | 2012-11-28 | 2013-05-22 | 北京用友政务软件有限公司 | 一种基于JavaEE应用系统的安全加固方法 |
| CN103441851A (zh) * | 2013-08-23 | 2013-12-11 | 成都卫士通信息产业股份有限公司 | 一种终端设备接入vpn设备的方法 |
| CN103546472A (zh) * | 2013-10-28 | 2014-01-29 | 中国软件与技术服务股份有限公司 | 一种业务系统防伪保护的方法和装置 |
| CN103873245A (zh) * | 2012-12-14 | 2014-06-18 | 华为技术有限公司 | 虚拟机系统数据加密方法及设备 |
| CN104253688A (zh) * | 2013-06-28 | 2014-12-31 | 北京思普崚技术有限公司 | 一种基于IPSec的VPN连接方法 |
| CN104272781A (zh) * | 2012-05-14 | 2015-01-07 | Nec欧洲有限公司 | 从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统 |
| CN104869043A (zh) * | 2015-06-04 | 2015-08-26 | 魅族科技(中国)有限公司 | 一种建立vpn连接的方法及终端 |
| CN105099849A (zh) * | 2015-06-23 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种IPsec隧道的建立方法和设备 |
| CN106130775A (zh) * | 2016-07-13 | 2016-11-16 | 上海携程商务有限公司 | Vpn设备的集中管理系统及方法 |
| CN106230685A (zh) * | 2016-09-22 | 2016-12-14 | 湖南优图信息技术有限公司 | 一种中小企业公共服务系统 |
| CN106357621A (zh) * | 2016-08-29 | 2017-01-25 | 桂林浩新科技服务有限公司 | 一种用户访问控制方法和系统 |
| CN106789537A (zh) * | 2017-01-20 | 2017-05-31 | 网宿科技股份有限公司 | 一种vpn网络构建方法及系统 |
| CN106850805A (zh) * | 2017-02-06 | 2017-06-13 | 网宿科技股份有限公司 | 一种数据传输方法及装置 |
| CN106875515A (zh) * | 2015-12-11 | 2017-06-20 | 中国移动通信集团辽宁有限公司 | 门禁验证系统及其门禁验证方法 |
| CN107749837A (zh) * | 2017-09-26 | 2018-03-02 | 甘肃万维信息技术有限责任公司 | 一种电子政务资源安全防护系统及其方法 |
| CN107864041A (zh) * | 2017-12-14 | 2018-03-30 | 上海格尔软件股份有限公司 | 一种失效证书数据平滑过渡保护方法 |
| CN108134796A (zh) * | 2017-12-26 | 2018-06-08 | 山东渔翁信息技术股份有限公司 | 安全通信方法、装置及边界网关 |
| CN108322366A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
| CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制系统有限责任公司 | 一种vpn隧道模式优化方法及系统 |
| WO2020078164A1 (zh) * | 2018-10-19 | 2020-04-23 | 中兴通讯股份有限公司 | 一种隧道的创建方法、装置及存储介质 |
| CN111148056A (zh) * | 2020-04-03 | 2020-05-12 | 南京华智达网络技术有限公司 | 可运营网络配置方法及系统 |
| CN111193732A (zh) * | 2019-12-26 | 2020-05-22 | 国汽(北京)智能网联汽车研究院有限公司 | 一种车内通信方法、装置及电子设备 |
| CN113691545A (zh) * | 2021-08-26 | 2021-11-23 | 中国电信股份有限公司 | 路由的控制方法、装置、电子设备及计算机可读介质 |
| CN115022064A (zh) * | 2022-06-15 | 2022-09-06 | 北京安盟信息技术股份有限公司 | 一种专用工作网络加密接入方法及装置 |
-
2008
- 2008-10-31 CN CNA2008102256337A patent/CN101447907A/zh active Pending
Cited By (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102170451A (zh) * | 2011-05-17 | 2011-08-31 | 深信服网络科技(深圳)有限公司 | 一种vpn客户端接入方法和装置 |
| CN102348210A (zh) * | 2011-10-19 | 2012-02-08 | 迈普通信技术股份有限公司 | 一种安全性移动办公的方法和移动安全设备 |
| CN102984130A (zh) * | 2011-11-08 | 2013-03-20 | 陈嘉贤 | 用于对用户身份进行认证的方法、系统及其使用的设备 |
| CN104272781A (zh) * | 2012-05-14 | 2015-01-07 | Nec欧洲有限公司 | 从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统 |
| CN102868698B (zh) * | 2012-09-24 | 2015-03-25 | 汉柏科技有限公司 | 用于网络的防御方法及系统 |
| CN102868698A (zh) * | 2012-09-24 | 2013-01-09 | 汉柏科技有限公司 | 用于网络的防御方法及系统 |
| CN103117998A (zh) * | 2012-11-28 | 2013-05-22 | 北京用友政务软件有限公司 | 一种基于JavaEE应用系统的安全加固方法 |
| CN103117998B (zh) * | 2012-11-28 | 2016-01-20 | 北京用友政务软件有限公司 | 一种基于JavaEE应用系统的安全加固方法 |
| CN102984045B (zh) * | 2012-12-05 | 2019-04-19 | 网神信息技术(北京)股份有限公司 | 虚拟专用网的接入方法及虚拟专用网客户端 |
| CN102984045A (zh) * | 2012-12-05 | 2013-03-20 | 网神信息技术(北京)股份有限公司 | 虚拟专用网的接入方法及虚拟专用网客户端 |
| CN103873245A (zh) * | 2012-12-14 | 2014-06-18 | 华为技术有限公司 | 虚拟机系统数据加密方法及设备 |
| CN104253688A (zh) * | 2013-06-28 | 2014-12-31 | 北京思普崚技术有限公司 | 一种基于IPSec的VPN连接方法 |
| CN103441851A (zh) * | 2013-08-23 | 2013-12-11 | 成都卫士通信息产业股份有限公司 | 一种终端设备接入vpn设备的方法 |
| CN103441851B (zh) * | 2013-08-23 | 2016-12-28 | 成都卫士通信息产业股份有限公司 | 一种终端设备接入vpn设备的方法 |
| CN103546472A (zh) * | 2013-10-28 | 2014-01-29 | 中国软件与技术服务股份有限公司 | 一种业务系统防伪保护的方法和装置 |
| CN103546472B (zh) * | 2013-10-28 | 2017-10-24 | 中国软件与技术服务股份有限公司 | 一种业务系统防伪保护的方法和装置 |
| CN104869043A (zh) * | 2015-06-04 | 2015-08-26 | 魅族科技(中国)有限公司 | 一种建立vpn连接的方法及终端 |
| CN104869043B (zh) * | 2015-06-04 | 2019-04-16 | 魅族科技(中国)有限公司 | 一种建立vpn连接的方法及终端 |
| CN105099849A (zh) * | 2015-06-23 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种IPsec隧道的建立方法和设备 |
| CN105099849B (zh) * | 2015-06-23 | 2018-09-04 | 新华三技术有限公司 | 一种IPsec隧道的建立方法和设备 |
| CN106875515A (zh) * | 2015-12-11 | 2017-06-20 | 中国移动通信集团辽宁有限公司 | 门禁验证系统及其门禁验证方法 |
| CN106130775B (zh) * | 2016-07-13 | 2019-08-20 | 上海携程商务有限公司 | Vpn设备的集中管理系统及方法 |
| CN106130775A (zh) * | 2016-07-13 | 2016-11-16 | 上海携程商务有限公司 | Vpn设备的集中管理系统及方法 |
| CN106357621A (zh) * | 2016-08-29 | 2017-01-25 | 桂林浩新科技服务有限公司 | 一种用户访问控制方法和系统 |
| CN106230685A (zh) * | 2016-09-22 | 2016-12-14 | 湖南优图信息技术有限公司 | 一种中小企业公共服务系统 |
| CN108322366A (zh) * | 2017-01-17 | 2018-07-24 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
| CN108322366B (zh) * | 2017-01-17 | 2021-10-01 | 阿里巴巴集团控股有限公司 | 接入网络的方法、装置和系统 |
| CN106789537A (zh) * | 2017-01-20 | 2017-05-31 | 网宿科技股份有限公司 | 一种vpn网络构建方法及系统 |
| CN106850805A (zh) * | 2017-02-06 | 2017-06-13 | 网宿科技股份有限公司 | 一种数据传输方法及装置 |
| CN107749837A (zh) * | 2017-09-26 | 2018-03-02 | 甘肃万维信息技术有限责任公司 | 一种电子政务资源安全防护系统及其方法 |
| CN107864041B (zh) * | 2017-12-14 | 2020-10-09 | 格尔软件股份有限公司 | 一种失效证书数据平滑过渡保护方法 |
| CN107864041A (zh) * | 2017-12-14 | 2018-03-30 | 上海格尔软件股份有限公司 | 一种失效证书数据平滑过渡保护方法 |
| CN108134796A (zh) * | 2017-12-26 | 2018-06-08 | 山东渔翁信息技术股份有限公司 | 安全通信方法、装置及边界网关 |
| WO2020078164A1 (zh) * | 2018-10-19 | 2020-04-23 | 中兴通讯股份有限公司 | 一种隧道的创建方法、装置及存储介质 |
| CN110535748A (zh) * | 2019-09-09 | 2019-12-03 | 北京科东电力控制系统有限责任公司 | 一种vpn隧道模式优化方法及系统 |
| CN110535748B (zh) * | 2019-09-09 | 2021-03-26 | 北京科东电力控制系统有限责任公司 | 一种vpn隧道模式优化方法及系统 |
| CN111193732A (zh) * | 2019-12-26 | 2020-05-22 | 国汽(北京)智能网联汽车研究院有限公司 | 一种车内通信方法、装置及电子设备 |
| CN111148056A (zh) * | 2020-04-03 | 2020-05-12 | 南京华智达网络技术有限公司 | 可运营网络配置方法及系统 |
| CN113691545A (zh) * | 2021-08-26 | 2021-11-23 | 中国电信股份有限公司 | 路由的控制方法、装置、电子设备及计算机可读介质 |
| CN115022064A (zh) * | 2022-06-15 | 2022-09-06 | 北京安盟信息技术股份有限公司 | 一种专用工作网络加密接入方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101447907A (zh) | Vpn安全接入方法及系统 | |
| CN112073375B (zh) | 一种适用于电力物联网客户侧的隔离装置及隔离方法 | |
| CN111049660B (zh) | 证书分发方法、系统、装置及设备、存储介质 | |
| US8607045B2 (en) | Tokencode exchanges for peripheral authentication | |
| CN106161032B (zh) | 一种身份认证的方法及装置 | |
| US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
| CN201194396Y (zh) | 基于透明代理网关的安全网关平台 | |
| EP2767029B1 (en) | Secure communication | |
| CN109286932A (zh) | 入网认证方法、装置及系统 | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| CN107995608A (zh) | 一种通过蓝牙车载单元进行认证的方法及装置 | |
| CN111416807A (zh) | 数据获取方法、装置及存储介质 | |
| CN102685749B (zh) | 面向移动终端的无线安全身份验证方法 | |
| CN101300808A (zh) | 安全认证的方法和设置 | |
| CN103312691A (zh) | 一种云平台的认证与接入方法及系统 | |
| CN101841525A (zh) | 安全接入方法、系统及客户端 | |
| CN114362993B (zh) | 一种区块链辅助的车联网安全认证方法 | |
| CN104468126A (zh) | 一种安全通信系统及方法 | |
| CN114866245B (zh) | 一种基于区块链的电力数据采集方法及系统 | |
| CN100550030C (zh) | 在便携式终端主机上添加可信平台的方法 | |
| CN108964897A (zh) | 基于群组通信的身份认证系统和方法 | |
| CN110061991A (zh) | 一种实现高速公路收费专网安全接入互联网的网关设置方法 | |
| CN111917543B (zh) | 用户接入云平台安全接入认证系统及其应用方法 | |
| CN113569213A (zh) | 一种基于5g技术的工业园区应用安全支撑系统及方法 | |
| CN104657856A (zh) | 基于位置认证的智能移动客户端支付方法及服务器系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090603 |