CN102065059A - 安全访问控制方法、客户端及系统 - Google Patents
安全访问控制方法、客户端及系统 Download PDFInfo
- Publication number
- CN102065059A CN102065059A CN2009101097272A CN200910109727A CN102065059A CN 102065059 A CN102065059 A CN 102065059A CN 2009101097272 A CN2009101097272 A CN 2009101097272A CN 200910109727 A CN200910109727 A CN 200910109727A CN 102065059 A CN102065059 A CN 102065059A
- Authority
- CN
- China
- Prior art keywords
- client
- security
- packet
- security gateway
- routing policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种安全访问控制方法,包括:与安全网关建立安全连接通道;获取与客户端的身份对应的安全控制策略,所述安全控制策略包括安全策略和路由策略;根据所述安全策略对所述客户端自身进行安全检查;对符合所述安全策略的客户端的数据包,根据所述路由策略,将符合所述路由策略的数据包通过所述安全连接通道发送到所述安全网关,将不符合所述路由策略的数据包发送到普通路由器。相应的,本发明实施例还公开了一种客户端和安全访问控制系统,能降低IT系统复杂度,提高系统的安全性。
Description
技术领域
本发明涉及网络安全领域,特别涉及一种安全访问控制方法、客户端及系统。
背景技术
在企业网中,IT(Information Technology,信息技术)应用系统通常部署在数据中心,不同的用户通过不同网络协议使用数据中心的IT系统,如财会人员通过HTTP(Hyper Text Transfer Protocol,超文本传输协议)登录财务系统,一般员工通过FTP(File Transport Protocol,文件传输协议)下载文件,IT管理员通过Telnet协议登录管理系统。而由于各种客户端使用不同的网络协议访问数据中心的IT系统,其中有一些网络协议属于高风险网络协议,如Telnet中通常包含管理员口令信息,而通过HTTP协议访问财务系统时则有可能包含敏感财会信息。而另一些常用协议却属于低风险协议,如FTP下载普通文件时一般不包含保密信息。在越来越重视网络安全的今天,为了保护企业信息安全,企业网管理中通常会对一些高风险协议进行一些安全保护措施,如认证、授权、加密、审计等,或限制使用人群,如仅管理员可以使用这些协议访问。
为了保护上述背景中的高风险网络协议,现有技术中,一种较为普遍的方法是各IT系统内部自行对高风险协议进行加密保护。如财务系统内部对敏感财会数据进行加密传输,Telnet协议加密传输口令等。同时在数据中心边缘部署防火墙,配置防火墙基于IP地址的策略,仅特定人群可以使用高风险协议,一般用户仅能使用一般的协议访问IT系统。例如,财会人员试图用Telnet访问财务系统或者文件服务器是无法成功的,因为防火墙会阻断连接请求,而IT管理员则可以成功用Telnet协议连接到财务系统或者文件服务器进行管理。
但是现有技术中,各个IT系统需要自行分别处理敏感信息,增加了IT系统本身的复杂度,防火墙基于IP地址的策略容易被冒用IP地址攻击,安全性不高。
发明内容
本发明实施例提供一种安全访问控制方法、客户端及系统,以降低IT系统本身的复杂度,提高系统的安全性。
本发明实施例提供一种安全访问控制方法,包括:
与安全网关建立安全连接通道;
获取与客户端的身份对应的安全控制策略,所述安全控制策略包括安全策略和路由策略;
根据所述安全策略对所述客户端自身进行安全检查;
对符合所述安全策略的客户端的数据包,根据所述路由策略,将符合所述路由策略的数据包通过所述安全连接通道发送到所述安全网关,将不符合所述路由策略的数据包发送到普通路由器。
本发明实施例提供一种客户端,包括:
建立模块,用于与安全网关建立安全连接通道;
获取模块,用于获取与所述客户端的身份对应的安全控制策略,所述安全控制策略包括安全策略和路由策略;
自检模块,用于根据所述安全策略对所述客户端自身进行安全检查;
路由选择模块,用于将通过所述自检模块安全检查的客户端的数据包,根据路由策略,将符合路由策略的数据包通过所述安全连接通道发送到所述安全网关,将不符合所述路由策略的数据包发送到普通路由器。
本发明实施例提供一种安全访问控制系统,包括安全网关、普通路由器和客户端,所述客户端通过所述安全网关或者所述普通路由器,对数据中心内的目的应用服务器进行访问,
所述客户端,用于与所述安全网关建立安全连接通道;从安全服务器下载与客户端的身份对应的安全控制策略,所述安全控制策略包括安全策略和路由策略;根据所述安全策略对所述客户端自身进行安全检查;对符合所述安全策略的客户端的数据包,根据所述路由策略,将符合所述路由策略的数据包通过所述安全连接通道发送到所述安全网关,将不符合所述路由策略的数据包发送到普通路由器;
所述安全网关,用于和所述客户端建立安全连接通道,接收来自所述客户端的数据包,解密发送到位于所述数据中心内的目的应用服务器;接收来自所述数据中心内部的数据包,加密发送到所述客户端;
所述普通路由器,用于接收所述客户端的不符合路由策略的数据包,将所述不符合路由策略的数据包发送到所述数据中心内的目的应用服务器。
本发明实施例通过以上技术方案,通过路由策略定义,统一处理符合路由策略的信息,将所有需保密的敏感信息都经过安全连接通道发送到安全网关进入数据中心,数据中心的应用服务器无需再考虑数据保密问题,降低了IT系统本身的复杂度,安全控制策略与用户身份绑定,在接入前根据安全策略检查客户端机器安全性,防止有安全隐患的客户端访问受保护资源,有效提高了整体安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1本发明实施例提供的一种安全访问控制方法流程图;
图2本发明实施例提供的一种安全访问控制方法流程图;
图3本发明实施例提供的一种安全访问控制方法流程子图;
图4本发明实施例提供的一种安全访问控制方法流程子图;
图5本发明实施例提供的一种路由策略定义示意图;
图6本发明实施例提供的一种安全访问控制方法流程图;
图7本发明实施例提供的一种客户端的结构图;
图8本发明实施例提供的一种路由选择模块的结构图;
图9本发明实施例提供的一种安全访问控制系统的结构图;
图10本发明实施例提供的一种安全访问控制系统的应用场景示意图;
图11本发明实施例提供的一种安全访问控制方法流程图;
图12本发明实施例提供的一种获取模块的结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供一种安全访问控制方法,包括:
S110,与安全网关建立安全连接通道;
客户端启动后,会登陆安全网关,与安全网关建立安全连接通道。这样,所有通过该安全连接通道发送到安全网关的数据包都是加密的。
在一个实施例中,安全连接通道可以为VPN通道,在另一个实施例中也可以为SSL VPN通道,在另一个实施例中还可以为其它自己定义的安全连接通道,本发明实施例并不做特别的限定。
S120,获取与客户端的身份对应的安全控制策略,该安全控制策略包括安全策略和路由策略;
在一个实施例中,可以从安全服务器下载与所述客户端的身份对应的安全控制策略。在一个实施例中,安全控制策略与客户端的身份绑定,即不同的客户端在登陆安全网关后,从安全服务器下载的安全控制策略是不同的。
在一个实施例中,不同的客户端可以预先根据需要访问的受控资源向安全服务器申请不同的控制策略。例如,在客户端登陆安全网关之前,如果需要访问高密级的资源,则客户端向安全服务器提出,访问该高密级资源的控制策略的申请,然后安全服务器管理人员则根据用户的身份、访问需要等信息对用户提出的申请进行审批。当审批通过后,在安全服务器中访问该高密级资源的控制策略就与用户的身份进行了绑定,当后续客户端登陆安全网关后就可以请求下载这个控制策略。
在一个实施例中,客户端从安全服务器下载与客户端的身份对应的安全控制策略之前,需要向安全服务器进行身份认证,身份认证通过后,安全服务器就会将与该身份对应的安全控制策略提供给客户端进行下载。
在一个实施例中,安全服务器预先存储着各个客户端的身份信息,客户端进行身份认证时,会告知安全服务器自己的身份信息和相应的验证凭证(如,密码、数字证书或者口令等)。安全服务器核对相应的验证凭证是否正确,若正确则将与该身份对应的安全控制策略提供给客户端进行下载。
在一个实施例中,安全控制策略包括安全策略和路由策略。客户端可以根据安全策略对自身进行安全检查。例如,可以进行病毒扫描,间谍软件扫描、木马程序扫描、进程扫描、端口扫描等。
需要说明的是,在另一个实施例中,客户端还可以从安全网关下载与自己的身份对应的安全控制策略。
S130,根据安全策略对客户端自身进行安全检查;
客户端可以根据安全策略对自身进行安全检查。例如,可以进行病毒扫描,间谍软件扫描、木马程序扫描、进程扫描、端口扫描等。
对于不符合安全策略的客户端,安全网关拒绝对其提供服务,拆除安全连接通道。对于符合安全策略的客户端,客户端将接受路由策略作为输入,进入工作循环,根据路由策略选择路由,直到客户端退出登陆拆除安全连接通道为止。
S140,对于步骤S130中符合安全策略的客户端的访问网络的数据包,根据路由策略,将符合路由策略的数据包通过S110建立的安全连接通道,发送到安全网关,将不符合路由策略的数据包发送到普通路由器。
在一个实施例中,路由策略可以包括,IP+端口规则:根据数据包(如TCP/UDP报文)的目的地址和目的端口号来选择发送到安全网关还是发送到普通路由器。
当安全网关接收到符合路由策略的数据包后,会对数据包进行解密,然后将数据包发送到相应的目的地址。
当普通路由器接收到不符合路由策略的数据包后,将数据包转发到相应的目的地址。
本发明实施例通过以上技术方案,通过路由策略定义,统一处理符合路由策略的信息,将所有需保密的敏感信息都经过安全连接通道发送到安全网关进入数据中心,数据中心的应用服务器无需再考虑数据保密问题,降低了IT系统本身的复杂度,安全控制策略与用户身份绑定,在接入前根据安全策略检查客户端机器安全性,防止有安全隐患的客户端访问受保护资源,有效提高了整体安全性。
如图11所示,本发明实施例提供一种安全访问控制方法,包括:
S510,与安全网关建立安全连接通道;
客户端启动后,会登陆安全网关,与安全网关建立安全连接通道。这样,所有通过该安全连接通道发送到安全网关的数据包都是加密的。
在一个实施例中,安全连接通道可以为VPN通道,在另一个实施例中也可以为SSL VPN通道,在另一个实施例中还可以为其它自己定义的安全连接通道,本发明实施例并不做特别的限定。
S520,向安全网关进行身份认证,若身份认证通过,则获取与所述客户端的身份对应的安全控制策略,即进行步骤S530;若身份认证不通过,则安全网关断开S510中建立的安全连接通道;
S530,获取与客户端的身份对应的安全控制策略,该安全控制策略包括安全策略和路由策略;
在一个实施例中,可以从安全服务器下载与所述客户端的身份对应的安全控制策略。在一个实施例中,安全控制策略与客户端的身份绑定,即不同的客户端在登陆安全网关后,从安全服务器下载的安全控制策略是不同的。
在一个实施例中,不同的客户端可以预先根据需要访问的受控资源向安全服务器申请不同的控制策略。例如,在客户端登陆安全网关之前,如果需要访问高密级的资源,则客户端向安全服务器提出,访问该高密级资源的控制策略的申请,然后安全服务器管理人员则根据用户的身份、访问需要等信息对用户提出的申请进行审批。当审批通过后,在安全服务器中访问该高密级资源的控制策略就与用户的身份进行了绑定,当后续客户端登陆安全网关后就可以请求下载这个控制策略。
在一个实施例中,客户端从安全服务器下载与客户端的身份对应的安全控制策略之前,需要向安全服务器进行身份认证,身份认证通过后,安全服务器就会将与该身份对应的安全控制策略提供给客户端进行下载。
在一个实施例中,安全服务器预先存储着各个客户端的身份信息,客户端进行身份认证时,会告知安全服务器自己的身份信息和相应的验证凭证(如,密码、数字证书或者口令等)。安全服务器核对相应的验证凭证是否正确,若正确则将与该身份对应的安全控制策略提供给客户端进行下载。
在一个实施例中,安全控制策略包括安全策略和路由策略。客户端可以根据安全策略对自身进行安全检查。例如,可以进行病毒扫描,间谍软件扫描、木马程序扫描、进程扫描、端口扫描等。
需要说明的是,在另一个实施例中,客户端还可以从安全网关下载与自己的身份对应的安全控制策略。在一个实施例中,安全网关在和客户端进行身份验证的时候,从安全服务器那里把他的策略取下来,这样客户端就可以从安全网关那里下载相应的安全控制策略。在另一个实施例中,安全服务器在用户申请时把策略写到网关里,这样客户端就可以从安全网关那里下载相应的安全控制策略。
S540,根据安全策略对客户端自身进行安全检查;
客户端可以根据安全策略对自身进行安全检查。例如,可以进行病毒扫描,间谍软件扫描、木马程序扫描、进程扫描、端口扫描等。
对于不符合安全策略的客户端,安全网关拒绝对其提供服务,拆除安全连接通道。对于符合安全策略的客户端,客户端将接受路由策略作为输入,进入工作循环,根据路由策略选择路由,直到客户端退出登陆拆除安全连接通道为止。
S550,拦截符合S540中安全检查的客户端的数据包;即,拦截符合安全策略的客户端的数据包;
S560,根据S550拦截的数据包中的目的IP地址和目的端口号,在路由策略中查找匹配记录,若匹配则将所述数据包通过所述安全连接通道发送到所述安全网关,若不匹配将所述数据包发送到普通路由器。
在本实施例中,路由策略包括,IP+端口规则:根据数据包(如TCP/UDP报文)的目的地址和目的端口号来选择发送到安全网关还是发送到普通路由器。
本发明实施例通过以上技术方案,通过路由策略定义,统一处理敏感信息的加解密问题,将所有需保密的敏感信息都经过安全网关进入数据中心,安全网关对数据进行应用层透明的加解密,应用程序无需再考虑数据保密问题。安全网关的控制策略与用户身份绑定,客户端在登录安全网关前进行身份认证,认证后取得与身份绑定的控制策略,可以防止IP假冒,对关键事件能更好的审计追踪到人。另外,IP+端口的路由策略能够更精确的定义受控资源,对于非受控信息排除在安全网关之外,提高安全网关的效率。而且在接入前根据安全策略检查客户端机器安全性,安全检查涵盖病毒扫描、间谍软件扫描、木马程序扫描、进程扫描、端口扫描等,防止有安全隐患的客户端访问受保护资源,有效提高了整体安全性。
如图2所示,本发明实施例提供一种安全访问控制方法,包括:
S210,与安全网关建立安全连接通道;
客户端启动后,会登陆安全网关,与安全网关建立安全连接通道。这样,所有通过该安全连接通道发送到安全网关的数据包都是加密的。
在一个实施例中,安全连接通道可以为VPN通道,在另一个实施例中也可以为SSL VPN通道,在另一个实施例中还可以为其它自己定义的安全连接通道,本发明实施例并不做特别的限定。
S220,从安全服务器下载与客户端的身份对应的安全控制策略,该安全控制策略包括安全策略和路由策略;
在一个实施例中,安全控制策略与客户端的身份绑定,即不同的客户端在登陆安全网关后,从安全服务器下载的安全控制策略是不同的。
在一个实施例中,不同的客户端可以预先根据需要访问的受控资源向安全服务器申请不同的控制策略。
在一个实施例中,客户端从安全服务器下载与客户端的身份对应的安全控制策略之前,需要向安全服务器进行身份认证,身份认证通过后,安全服务器就会将与该身份对应的安全控制策略提供给客户端进行下载。
在一个实施例中,安全服务器预先存储着各个客户端的身份信息,客户端进行身份认证时,会告知安全服务器自己的身份信息和相应的验证凭证(如,密码、数字证书或者口令等)。安全服务器核对相应的验证凭证是否正确,若正确则将与该身份对应的安全控制策略提供给客户端进行下载。
在一个实施例中,安全控制策略包括安全策略和路由策略。客户端可以根据安全策略对自身进行安全检查。例如,可以进行病毒扫描,间谍软件扫描、木马程序扫描、进程扫描、端口扫描等。
S230,根据安全策略对客户端自身进行安全检查;
客户端可以根据安全策略对自身进行安全检查。例如,可以进行病毒扫描,间谍软件扫描、木马程序扫描、进程扫描、端口扫描等。
对于不符合安全策略的客户端,安全网关拒绝对其提供服务,拆除安全连接通道。
S240,对于符合安全策略的客户端,客户端将激活访问控制模块,访问控制模块接受路由策略作为输入,激活后进入工作循环,根据路由策略选择路由,直到用户退出客户端软件
在一个实施例中,访问控制模块可以包括一个过滤驱动程序,该驱动位于操作系统(如Windows操作系统)TCP/IP协议栈和物理网卡驱动程序之间,所有经过协议栈传递到下层网卡驱动程序的数据包必将流入本驱动程序。这样,在一个实施例中,如图3所示,步骤S240可以包括:
S241,客户端激活过滤驱动,将从安全服务器下载的控制策略传递给驱动程序,指令驱动程序开始工作;
S242,提取数据包中的TCP/UDP头部,根据数据包中的目的IP地址和TCP/UDP头部中的目的端口号,在路由策略中查找匹配记录,若符合则提交到安全网关路由转发模块,否则不做处理,继续交由下一层网卡驱动程序发送到普通路由器。
在这里,安全网关路由转发模块用于和安全网关建立安全通道连接,接收驱动程序传递上来的数据包,负责安全连接的加解密、发送接收动作。
在一个实施例中,可以采用Windows NDIS(Network Driver InterfaceSpecification,网络驱动程序接口规范)中间层驱动(NDIS IM)的方式插入过滤驱动程序,在过滤驱动中根据路由策略重定向数据包,而路由策略则由客户端的Win32程序通过驱动操作接口传递到驱动内部。
在一个实施例中,如在Linux或者Unix系统中,访问控制模块可以包括一个过滤器,如netfilter内核模块,这样,在一个实施例中,如图4所示,步骤S240可以包括:
S243,对于符合安全策略的客户端,客户端激活netfilter内核模块,将从安全服务器下载的控制策略传递给netfilter内核模块,指令netfilter内核模块开始工作;
在一个实施例中,如在Linux或者Unix系统中,可以用本实施例的netfilter内核模块实现数据包的拦截和路由。例如,可以通过Linux或者Unix系统的netfilter内核模块机制,注册NF_IP_LOCAL_IN和NF_IP_LOCAL_OUT过滤函数。这样,在TCP/IP内核模块处理路由数据的前、后会调用以上注册的过滤函数,在过滤函数内实现策略路由转发。
S244,提取数据包中的TCP/UDP头部,根据数据包中的目的IP地址和TCP/UDP头部中的目的端口号,在路由策略中查找匹配记录,若符合则提交到安全网关路由转发模块,否则不做处理,继续交由下一层内核模块发送到普通路由器。
本发明实施例通过以上技术方案,通过路由策略定义,统一处理敏感信息的加解密问题,将所有需保密的敏感信息都经过安全网关进入数据中心,安全网关对数据进行应用层透明的加解密,应用程序无需再考虑数据保密问题。安全网关的控制策略与用户身份绑定,客户端在登录安全网关前进行身份认证,认证后取得与身份绑定的控制策略,可以防止IP假冒,对关键事件能更好的审计追踪到人。另外,IP+端口的路由策略能够更精确的定义受控资源,对于非受控信息排除在安全网关之外,提高安全网关的效率。而且在接入前根据安全策略检查客户端机器安全性,安全检查涵盖病毒扫描、间谍软件扫描、木马程序扫描、进程扫描、端口扫描等,防止有安全隐患的客户端访问受保护资源,有效提高了整体安全性。
在本发明另一个实施例中,为使本领域一般技术人员,更为形象的了解本发明实施例提供的技术方案,在该实施例中,提供一种实际应用场景举例进行说明,具体如下:
假设数据中心有一台文件服务器域名为fileServer.huawei.com,IP地址为192.168.1.100,现欲保护此文件服务器的telnet端口(TCP_23),另有一个WEB网站在secret.huawei.com,IP地址为192.168.1.200,端口为TCP_8080,欲保护此web站点,仅允许ITAdmin群组的用户可以通过安全网关访问,其余流量通过普通路由器直接访问,可以定义路由策略如图5所示。
如图5所示,仅仅ITAdmin群组的成员(chenyuling和gaoxianwei)在登录安全网关时会取得这份路由策略。访问控制模块应用这份路由策略,当用户试图访问192.168.1.100:23或者192.168.1.200:8080时,驱动程序截获数据包,传递到安全网关路由转发模块,由安全网关路由转发模块进行SSL加密封装发送到安全网关,安全网关解封解密后路由到数据中心内部的目标机器上。而FTP下载文件的数据流量由于不在路由策略内,不会发送到安全网关,而是通过普通的路由器进入数据中心。
本发明实施例通过以上技术方案,通过路由策略定义,统一处理敏感信息的加解密问题,将所有需保密的敏感信息都经过安全网关进入数据中心,安全网关对数据进行应用层透明的加解密,应用程序无需再考虑数据保密问题。安全网关的控制策略与用户身份绑定,客户端在登录安全网关前进行身份认证,认证后取得与身份绑定的控制策略,可以防止IP假冒,对关键事件能更好的审计追踪到人。另外,IP+端口的路由策略能够更精确的定义受控资源,对于非受控信息排除在安全网关之外,提高安全网关的效率。而且在接入前根据安全策略检查客户端机器安全性,安全检查涵盖病毒扫描、间谍软件扫描、木马程序扫描、进程扫描、端口扫描等,防止有安全隐患的客户端访问受保护资源,有效提高了整体安全性。
为使本领域普通技术人员更好的理解本发明实施例的技术方案,如图6所示,本发明实施例提供一种安全访问控制方法的具体实施例,包括:
S1001,客户端与安全网关建立安全连接通道;
客户端启动后,会登陆安全网关,与安全网关建立安全连接通道。这样,所有通过该安全连接通道发送到安全网关的数据包都是加密的。
S1002,安全连接通道建立成功后,安全网关向客户端反馈安全连接通道建立OK;
建立完安全连接后,客户端发向安全网关的数据都要通过此安全连接到达安全网关,数据在安全连接中传输是加密的。
S1003,客户端向安全网关进行身份认证;
S1004,通过身份认证后,安全网关向客户端反馈身份认证OK;
S1005,客户端向安全服务器下载安全控制策略;
该安全策略与客户端的身份对应;该安全控制策略包括安全策略和路由策略。
S1006,安全服务器向用户提供安全控制策略下载;
在用户下载时,安全服务器核对用户提供的相应的验证凭证是否正确,若正确则将与该身份对应的安全控制策略提供给客户端进行下载。
S1007,客户端根据安全策略对自身进行安全检查;
客户端可以根据安全策略对自身进行安全检查。例如,可以进行病毒扫描,间谍软件扫描、木马程序扫描、进程扫描、端口扫描等。
对于不符合安全策略的客户端,安全网关拒绝对其提供服务,拆除安全连接通道。
S1009,安全检查通过后,客户端向安全网关发送受控数据;
在这里,受控数据是符合路由策略的数据,需要经过安全网关到达应用服务器1。
客户端向安全网关发送的受控数据,是经过安全连接达到安全网关的,数据在安全连接中的传输是加密的。
S1010,安全网关对客户端发送过来的受控数据进行拆包解密;
S1011,安全网关将经过拆包解密的受控数据发送给目标应用服务器,即应用服务器1;在这里,应用服务器1是受控应用的。
S1012,应用服务器1根据安全网关发送过来的受控数据,处理业务逻辑;
例如,在一个实施例中,安全网关将客户端通过Telnet登陆应用服务器1的请求拆包解密后发送给应用服务器1,应用服务器1接收到这个请求后,就会允许客户端通过Telnet登陆。
S1013,应用服务器1将根据业务逻辑处理得到的受控数据发送给安全网关;
S1014,安全网关对接收到的来自应用服务器1的受控数据加密封包;
S1015,安全网关将加密封包后的受控数据发送给客户端;
如果客户端发送的是非受控数据,则按照如下流程处理:
S1016,客户端向普通路由器发送非受控数据;
S1017,普通路由器将该非受控数据发送给目标服务器,即应用服务器2;在这里应用服务器2是非受控应用的。
S1018,应用服务器2根据普通路由器发送的非受控数据,处理非业务逻辑;
S1019,应用服务器2将根据业务逻辑处理得到的非受控数据发送给普通路由器;
S1020,普通路由器将S1019中的非受控数据转发给客户端;
当客户端完成了数据的发送和接收(包括受控数据和非受控数据)后,会请求和安全网关断开安全连接,即,
S1021,客户端请求和安全网关断开安全连接;
S1020,安全网关断开与客户端的安全连接。断开连接后,一个工作循环结束。
本发明实施例通过以上技术方案,通过路由策略定义,统一处理敏感信息的加解密问题,将所有受控信息都经过安全网关进入数据中心,安全网关对数据进行应用层透明的加解密,应用程序无需再考虑数据保密问题。安全网关的控制策略与用户身份绑定,客户端在登录安全网关前进行身份认证,认证后取得与身份绑定的控制策略,可以防止IP假冒,对关键事件能更好的审计追踪到人,有效提高了整体安全性。
如图7所示,本发明实施例提供一种客户端,包括:
建立模块410,用于与安全网关建立安全连接通道;
在一个实施例中,安全连接通道可以为VPN通道,在另一个实施例中也可以为SSL VPN通道,在另一个实施例中还可以为其它自己定义的安全连接通道,本发明实施例并不做特别的限定。
获取模块420,用于获取与客户端的身份对应的安全控制策略,该安全控制策略包括安全策略和路由策略;
在一个实施例中,安全控制策略与客户端的身份绑定,即不同的客户端在登陆安全网关后,获取模块420从安全服务器下载的安全控制策略是不同的。
具体的申请安全控制策略的过程在方法实施例中已经详细描述,在此不再赘述。
自检模块430,用于根据获取模块420下载的安全策略对自身进行安全检查;
客户端可以根据安全策略对自身进行安全检查。例如,可以进行病毒扫描,间谍软件扫描、木马程序扫描、进程扫描、端口扫描等。
对于不符合安全策略的客户端,安全网关拒绝对其提供服务,拆除安全连接通道。对于符合安全策略的客户端,客户端将接受路由策略作为输入,进入工作循环,根据路由策略选择路由,直到客户端退出登陆拆除安全连接通道为止。
路由选择模块440,用于将通过自检模块430安全检查的客户端的访问网络的数据包,根据路由策略,将符合路由策略的数据包通过S110建立的安全连接通道,发送到安全网关,将不符合路由策略的数据包发送到普通路由器。
在一个实施例中,路由策略可以包括,IP+端口规则:根据数据包(如TCP/UDP报文)的目的地址和目的端口号来选择发送到安全网关还是发送到普通路由器。
如图7中虚线框所示,该客户端还包括:
认证处理模块411,用于向安全网关进行身份认证,若身份认证通过,则获取模块420获取与客户端的身份对应的安全控制策略;若身份认证不通过,则安全网关断开所述安全连接通道。
如图8所示,在一个实施例中,路由选择模块440包括:
数据包拦截单元441,用于拦截自检模块430中符合安全策略的客户端的访问网络的数据包;
路由单元442,用于根据数据包拦截单元441拦截的数据包中的目的IP地址和目的端口号,在路由策略中查找匹配记录,若匹配则将数据包通过所述安全连接通道发送到所述安全网关,若不匹配将数据包发送到普通路由器。
在一个实施例中,路由单元442可以提取数据包中的TCP/UDP头部,根据数据包中的目的IP地址和TCP/UDP头部中的目的端口号,在路由策略中查找匹配记录,若符合则提交到安全网关路由转发模块,否则发送到普通路由器。
如图12所示,在一个实施例中,获取模块420包括:
第一下载单元421,用于从安全服务器下载与所述客户端的身份对应的安全控制策略;
第二下载单元422,用于从安全网关下载与所述客户端的身份对应的安全控制策略。
在一个实施例中,安全网关在和客户端进行身份验证的时候,从安全服务器那里把他的策略取下来,这样客户端的第二下载单元422就可以从安全网关那里下载相应的安全控制策略。在另一个实施例中,安全服务器在用户申请时把策略写到网关里,这样客户端的第二下载单元422就可以从安全网关那里下载相应的安全控制策略。
本发明实施例通过以上技术方案,通过路由策略定义,统一处理敏感信息的加解密问题,将所有需保密的敏感信息都经过安全网关进入数据中心,安全网关对数据进行应用层透明的加解密,应用程序无需再考虑数据保密问题。安全网关的控制策略与用户身份绑定,客户端在登录安全网关前进行身份认证,认证后取得与身份绑定的控制策略,可以防止IP假冒,对关键事件能更好的审计追踪到人。另外,IP+端口的路由策略能够更精确的定义受控资源,对于非受控信息排除在安全网关之外,提高安全网关的效率。而且在接入前根据安全策略检查客户端机器安全性,安全检查涵盖病毒扫描、间谍软件扫描、木马程序扫描、进程扫描、端口扫描等,防止有安全隐患的客户端访问受保护资源,有效提高了整体安全性。
如图9所示,本发明实施例提供一种安全访问控制系统,包括,安全网关10,对数据中心的应用服务器进行访问的客户端20和普通路由器30;
客户端20,用于登陆安全网关,与安全网关建立安全连接通道;获取与自身的身份对应的安全控制策略,该安全控制策略包括安全策略和路由策略;根据安全策略对客户端自身进行安全检查;检查通过后,根据路由策略,将符合路由策略的数据包通过建立的安全连接通道,发送到安全网关,将不符合路由策略的数据包发送到普通路由器;
在一个实施例中,客户端20可以从安全服务器下载与所述客户端的身份对应的安全控制策略;在另一个实施例中,客户端20还可以从安全网关10下载与自己的身份对应的安全控制策略。具体的两种下载策略,在前述方法实施例中已经详细描述,在此不再赘述。
安全网关10,用于和登陆的客户端20建立安全连接通道,接收来自客户端20的数据包,解密发送到位于数据中心内的目的地址,同时接收来自数据中心内部的数据包,加密发送到客户端20;
在一个实施例中,安全网关10位于数据中心边缘,数据包在到达安全网关10之前是加密的,保证在到达安全网关10之前的数据安全性;数据包在到达安全网关10后被解密发送到数据中心内的目的地址,因此目的地址看到的数据包是明文的,无需处理加解密问题。同理,数据中心发送到客户端20的数据包也是明文的,数据包在到达安全网关10的时候才由安全网关10加密,通过安全连接通道发送到客户端20,由客户端20解密递交上层应用程序。
普通路由器30,用于接收来自客户端20的不符合路由策略的数据包,将所述数据包发送到位于数据中心内的目的地址。
在图9所示的系统中,客户端20与安全网关10建立安全连接通道后,并非所有数据包都经过安全连接通道进入数据中心,对于非保护范围的数据包(即,不符合路由策略的数据包)将通过普通路由器30进入数据中心。
其中,客户端20的任一种具体结构详见上述施例,在此不再赘述。
本发明实施例通过以上技术方案,通过路由策略定义,统一处理敏感信息的加解密问题,将所有需保密的敏感信息都经过安全网关进入数据中心,安全网关对数据进行应用层透明的加解密,应用程序无需再考虑数据保密问题。安全网关的控制策略与用户身份绑定,客户端在登录安全网关前进行身份认证,认证后取得与身份绑定的控制策略,可以防止IP假冒,对关键事件能更好的审计追踪到人。另外,IP+端口的路由策略能够更精确的定义受控资源,对于非受控信息排除在安全网关之外,提高安全网关的效率。而且在接入前根据安全策略检查客户端机器安全性,安全检查涵盖病毒扫描、间谍软件扫描、木马程序扫描、进程扫描、端口扫描等,防止有安全隐患的客户端访问受保护资源,有效提高了整体安全性。
如图10所示,本发明实施例提供一种安全访问控制系统的具体应用场景示意图,在图10中有两个客户端,分别是财会人员21和IT管理员22。另外数据中心在本实施例中包括两台应用服务器,分别是财务系统31和文件服务器41。
在本实施例中,财会人员21通过HTTP访问财务系统31和IT管理员22通过Telnet登陆管理文件服务器,而者两种行为都包括预先定义的高风险的协议端口,如财务系统的端口,文件服务器的Telnet端口,访问这这些高风险协议端口的数据包进入数据中心的唯一途径就是通过安全网关进入。
其他非高风险协议则可以通过普通路由器进入数据中心,如图10中IT管理员22通过FTP协议在文件服务器41上下载文件,就不包括高风险协议,所以,可以通过普通路由器进入数据中心中的文件服务器41,进行FTP下载。
本发明实施例通过以上技术方案,通过路由策略定义,统一处理敏感信息的加解密问题,将所有需保密的敏感信息都经过安全网关进入数据中心,安全网关对数据进行应用层透明的加解密,应用程序无需再考虑数据保密问题。安全网关的控制策略与用户身份绑定,客户端在登录安全网关前进行身份认证,认证后取得与身份绑定的控制策略,可以防止IP假冒,对关键事件能更好的审计追踪到人。另外,IP+端口的路由策略能够更精确的定义受控资源,对于非受控信息排除在安全网关之外,提高安全网关的效率。而且在接入前根据安全策略检查客户端机器安全性,安全检查涵盖病毒扫描、间谍软件扫描、木马程序扫描、进程扫描、端口扫描等,防止有安全隐患的客户端访问受保护资源,有效提高了整体安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述仅为本发明的几个实施例,本领域的技术人员依据申请文件公开的可以对本发明进行各种改动或变型而不脱离本发明的精神和范围。
Claims (10)
1.一种安全访问控制方法,其特征在于,包括:
与安全网关建立安全连接通道;
获取与客户端的身份对应的安全控制策略,所述安全控制策略包括安全策略和路由策略;
根据所述安全策略对所述客户端自身进行安全检查;
对符合所述安全策略的客户端的数据包,根据所述路由策略,将符合所述路由策略的数据包通过所述安全连接通道发送到所述安全网关,将不符合所述路由策略的数据包发送到普通路由器。
2.如权利要求1所述的安全访问控制方法,其特征在于,所述对符合所述安全策略的客户端的数据包,根据所述路由策略,将符合所述路由策略的数据包通过所述安全连接通道发送到所述安全网关,将不符合所述路由策略的数据包发送到普通路由器,包括:
拦截符合安全策略的客户端的数据包;
根据所述数据包中的目的IP地址和目的端口号,在所述路由策略中查找匹配记录,若匹配则将所述数据包通过所述安全连接通道发送到所述安全网关,若不匹配将所述数据包发送到普通路由器。
3.如权利要求1所述的安全访问控制方法,其特征在于,所述获取与客户端的身份对应的安全控制策略,包括:
从安全服务器下载与所述客户端的身份对应的安全控制策略;或者,
从所述安全网关下载与所述客户端的身份对应的安全控制策略。
4.如权利要求1所述的安全访问控制方法,其特征在于,所述获取与客户端的身份对应的安全控制策略之前,包括:
向所述安全网关进行身份认证,若身份认证通过,则获取与所述客户端的身份对应的安全控制策略;若身份认证不通过,则所述安全网关断开所述安全连接通道。
5.一种客户端,其特征在于,包括:
建立模块,用于与安全网关建立安全连接通道;
获取模块,用于获取与所述客户端的身份对应的安全控制策略,所述安全控制策略包括安全策略和路由策略;
自检模块,用于根据所述安全策略对所述客户端自身进行安全检查;
路由选择模块,用于将通过所述自检模块安全检查的客户端的数据包,根据路由策略,将符合路由策略的数据包通过所述安全连接通道发送到所述安全网关,将不符合所述路由策略的数据包发送到普通路由器。
6.如权利要求5所述的客户端,其特征在于,所述路由选择模块包括:
数据包拦截单元,用于拦截所述通过所述自检模块安全检查的客户端的数据包;
路由单元,用于根据所述数据包拦截单元拦截的数据包中的目的IP地址和目的端口号,在所述路由策略中查找匹配记录,若匹配则将所述数据包通过所述安全连接通道发送到所述安全网关,若不匹配将所述数据包发送到普通路由器。
7.如权利要求5所述的客户端,其特征在于,所述获取模块包括第一下载单元或者第二下载单元;
所述第一下载单元,用于从安全服务器下载与所述客户端的身份对应的安全控制策略;
所述第二下载单元,用于从所述安全网关下载与所述客户端的身份对应的安全控制策略。
8.如权利要求5所述的客户端,其特征在于,所述客户端还包括:
认证处理模块,用于向所述安全网关进行身份认证,若身份认证通过,则所述获取模块获取与所述客户端的身份对应的安全控制策略;若身份认证不通过,则所述安全网关断开所述安全连接通道。
9.一种安全访问控制系统,包括安全网关、普通路由器和客户端,所述客户端通过所述安全网关或者所述普通路由器,对数据中心内的目的应用服务器进行访问,其特征在于,
所述客户端,用于与所述安全网关建立安全连接通道;获取与自身的身份对应的安全控制策略,所述安全控制策略包括安全策略和路由策略;根据所述安全策略对所述客户端自身进行安全检查;对符合所述安全策略的客户端的数据包,根据所述路由策略,将符合所述路由策略的数据包通过所述安全连接通道发送到所述安全网关,将不符合所述路由策略的数据包发送到普通路由器;
所述安全网关,用于和所述客户端建立安全连接通道,接收来自所述客户端的数据包,解密发送到位于所述数据中心内的目的应用服务器;接收来自所述数据中心内部的数据包,加密发送到所述客户端;
所述普通路由器,用于接收所述客户端的不符合路由策略的数据包,将所述不符合路由策略的数据包发送到所述数据中心内的目的应用服务器。
10.如权利要求9所述的安全访问控制系统,其特征在于,所述客户端具体用于:
与安全网关建立安全连接通道;从安全服务器下载与客户端的身份对应的安全控制策略,所述安全控制策略包括安全策略和路由策略;根据所述安全策略对所述客户端自身进行安全检查;拦截符合安全策略的客户端的数据包;
根据所述数据包中的目的IP地址和目的端口号,在所述路由策略中查找匹配记录,若匹配则将所述数据包通过所述安全连接通道发送到所述安全网关,若不匹配将所述数据包发送到普通路由器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101097272A CN102065059B (zh) | 2009-11-16 | 2009-11-16 | 安全访问控制方法、客户端及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101097272A CN102065059B (zh) | 2009-11-16 | 2009-11-16 | 安全访问控制方法、客户端及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102065059A true CN102065059A (zh) | 2011-05-18 |
| CN102065059B CN102065059B (zh) | 2013-12-04 |
Family
ID=44000163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101097272A Active CN102065059B (zh) | 2009-11-16 | 2009-11-16 | 安全访问控制方法、客户端及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102065059B (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187380A (zh) * | 2015-08-05 | 2015-12-23 | 全球鹰(福建)网络科技有限公司 | 一种安全访问方法及系统 |
| WO2016019717A1 (zh) * | 2014-08-08 | 2016-02-11 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| CN106471480A (zh) * | 2014-07-25 | 2017-03-01 | 高通股份有限公司 | 用于确定存储于外部非易失性存储器中的数据是否有效的集成电路 |
| CN107809315A (zh) * | 2017-11-03 | 2018-03-16 | 武汉元鼎创天信息科技有限公司 | 一种混凝土车辆油耗监控方法 |
| CN108134796A (zh) * | 2017-12-26 | 2018-06-08 | 山东渔翁信息技术股份有限公司 | 安全通信方法、装置及边界网关 |
| CN109033872A (zh) * | 2018-07-18 | 2018-12-18 | 郑州信大捷安信息技术股份有限公司 | 一种基于身份的安全运行环境构造方法 |
| CN111193698A (zh) * | 2019-08-22 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、终端及存储介质 |
| CN114363077A (zh) * | 2022-01-10 | 2022-04-15 | 河南能睿科技有限公司 | 基于安全访问服务边缘的管理系统 |
| CN114465848A (zh) * | 2022-04-13 | 2022-05-10 | 北京全路通信信号研究设计院集团有限公司 | 一种基于密文的数据传输方法及其系统 |
| CN114500177A (zh) * | 2022-04-13 | 2022-05-13 | 北京全路通信信号研究设计院集团有限公司 | 一种传输通信方式确定方法及其系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667857A (zh) * | 2018-08-28 | 2018-10-16 | 深信服科技股份有限公司 | 一种安全策略维护方法及系统、服务端、客户端 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100403684C (zh) * | 2004-12-30 | 2008-07-16 | 华为技术有限公司 | 一种保证无线宽带接入系统数据业务安全的方法及系统 |
| CN101111053B (zh) * | 2006-07-18 | 2010-12-01 | 中兴通讯股份有限公司 | 移动网络中防御网络攻击的系统和方法 |
| CN100594690C (zh) * | 2007-05-22 | 2010-03-17 | 网御神州科技(北京)有限公司 | 一种安全网关中进行安全策略统一处理的方法及装置 |
| CN101431516B (zh) * | 2008-12-04 | 2012-04-25 | 成都市华为赛门铁克科技有限公司 | 分布式安全策略的实现方法、客户端及通信系统 |
-
2009
- 2009-11-16 CN CN2009101097272A patent/CN102065059B/zh active Active
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106471480A (zh) * | 2014-07-25 | 2017-03-01 | 高通股份有限公司 | 用于确定存储于外部非易失性存储器中的数据是否有效的集成电路 |
| CN105337831B (zh) * | 2014-08-08 | 2018-10-09 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| WO2016019717A1 (zh) * | 2014-08-08 | 2016-02-11 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| CN105337831A (zh) * | 2014-08-08 | 2016-02-17 | 华为技术有限公司 | 虚拟专用网络的实现方法及客户端设备 |
| US10375025B2 (en) | 2014-08-08 | 2019-08-06 | Huawei Technologies Co., Ltd. | Virtual private network implementation method and client device |
| CN105187380A (zh) * | 2015-08-05 | 2015-12-23 | 全球鹰(福建)网络科技有限公司 | 一种安全访问方法及系统 |
| CN107809315A (zh) * | 2017-11-03 | 2018-03-16 | 武汉元鼎创天信息科技有限公司 | 一种混凝土车辆油耗监控方法 |
| CN108134796A (zh) * | 2017-12-26 | 2018-06-08 | 山东渔翁信息技术股份有限公司 | 安全通信方法、装置及边界网关 |
| CN109033872A (zh) * | 2018-07-18 | 2018-12-18 | 郑州信大捷安信息技术股份有限公司 | 一种基于身份的安全运行环境构造方法 |
| CN111193698A (zh) * | 2019-08-22 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、终端及存储介质 |
| CN111193698B (zh) * | 2019-08-22 | 2021-09-28 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、终端及存储介质 |
| CN114363077A (zh) * | 2022-01-10 | 2022-04-15 | 河南能睿科技有限公司 | 基于安全访问服务边缘的管理系统 |
| CN114363077B (zh) * | 2022-01-10 | 2022-09-23 | 河南能睿科技有限公司 | 基于安全访问服务边缘的管理系统 |
| CN114465848A (zh) * | 2022-04-13 | 2022-05-10 | 北京全路通信信号研究设计院集团有限公司 | 一种基于密文的数据传输方法及其系统 |
| CN114500177A (zh) * | 2022-04-13 | 2022-05-13 | 北京全路通信信号研究设计院集团有限公司 | 一种传输通信方式确定方法及其系统 |
| CN114465848B (zh) * | 2022-04-13 | 2022-09-13 | 北京全路通信信号研究设计院集团有限公司 | 一种基于密文的数据传输方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102065059B (zh) | 2013-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102065059B (zh) | 安全访问控制方法、客户端及系统 | |
| US10382525B2 (en) | Managing transmission and storage of sensitive data | |
| US7313618B2 (en) | Network architecture using firewalls | |
| KR101076848B1 (ko) | 사설망 자원으로의 연결을 설정하는 방법 및 컴퓨터 판독가능 기록 매체 | |
| CN102047262B (zh) | 用于分布式安全内容管理系统的认证 | |
| CN107872456A (zh) | 网络入侵防御方法、装置、系统及计算机可读存储介质 | |
| US20040107360A1 (en) | System and Methodology for Policy Enforcement | |
| US9210128B2 (en) | Filtering of applications for access to an enterprise network | |
| JP2005503047A (ja) | 安全なネットワークを供給するための装置と方法 | |
| US10050938B2 (en) | Highly secure firewall system | |
| US20210160217A1 (en) | Secure Controlled Access To Protected Resources | |
| WO2007006007A2 (en) | Using non 5-tuple information with ipsec | |
| Fuzi et al. | SafeSearch: obfuscated VPN server using raspberry Pi for secure network | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| Pujolle et al. | Secure session management with cookies | |
| JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| Cisco | Why You Need a Firewall | |
| Cisco | Why You Need a Firewall | |
| WO2001091418A2 (en) | Distributed firewall system and method | |
| Kotkar et al. | Network Attacks and Their Countermeasures | |
| Lu et al. | A Proxy Agent for Small Network-Enabled Devices | |
| Bálint | Possible CisCo-based Fire ProteCtion solutions in eduCation institutions | |
| Krishna et al. | Simulation of firewall and comparative study | |
| Zave et al. | 1 Security provided by endpoints | |
| CN118300899A (zh) | 授权通信方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |