CN200962603Y - 一种可信边界安全网关 - Google Patents
一种可信边界安全网关 Download PDFInfo
- Publication number
- CN200962603Y CN200962603Y CN 200620129693 CN200620129693U CN200962603Y CN 200962603 Y CN200962603 Y CN 200962603Y CN 200620129693 CN200620129693 CN 200620129693 CN 200620129693 U CN200620129693 U CN 200620129693U CN 200962603 Y CN200962603 Y CN 200962603Y
- Authority
- CN
- China
- Prior art keywords
- security gateway
- subsystem
- trust boundary
- access
- boundary security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型的目的在于提供一种具有高度防御能力的可信边界安全网关。本实用新型的可信边界安全网关(100)连接用户端和应用服务器端并且根据设于外部的门户网站和权限管理系统(200)的指导进行安全认证,它包括:接入认证单元,对接入到所述可信边界安全网关的用户端的身份进行认证;以及SSL子系统(103),用于认证和解密应用层的数据包并且根据来自所述门户网站和权限管理系统(200)的信息进行SSL验证和权限验证。
Description
技术领域
本实用新型涉及一种安全网关,具体地涉及可信边界安全网关(TrustBorder Security Gateway,简称:TBSG)。
背景技术
现今,随着网络技术不断发展,在给我们带来数字数据传输的便捷性和快速性的同时,也随之带来了一些网络安全性的问题,例如公司机密、个人ID或密码容易被黑客入侵或窃取。因此,如何维护网络数据的传输安全,已经成为非常重要的课题。目前,针对网络安全问题,可安装于网络系统的接收端以及/或者发送端用以保护传输数据的安全网关(Security Gateway)或防火墙(Firewall)已经被广泛应用。
然而,对于要求高度安全保障的系统例如,公安信息系统、政法系统等,采用一般的安全网关或防火墙难以对传输数据进行完备防护。
实用新型内容
本实用新型旨在解决上述问题,以提供一种高度可靠性的可信边界安全网关。
本实用新型的可信边界安全网关连接用户端和应用服务器端,并且根据设于外部的门户网站和权限管理系统的指导进行安全认证,包括:接入认证单元,对接入到所述可信边界安全网关的用户端的身份进行认证;以及SSL子系统,用于认证和解密应用层的数据包,并且根据来自所述门户网站和权限管理系统的信息进行SSL验证和权限验证。
较佳地,接入认证单元是802.1x接入子系统,该802.1x接入子系统用于进行链路层的接入认证。
较佳地,接入认证单元是IPSEC VPN子系统,该IPSEC VPN子系统用于进行网络层的认证和加密。
较佳地,接入认证单元包含:用于进行链路层的接入认证的802.1x接入子系统和用于进行网络层的认证和加密的IPSEC VPN子系统。
较佳地,SSL子系统从门户网站和权限管理系统获取URL权限控制来进行权限验证。
较佳地,802.1x接入子系统是由与支持802.1x认证的交换机相关的radius认证服务器构成。
较佳地,可信边界安全网关的各组成单元集成在一个硬件系统中。例如,该硬件系统包括一支持802.1X的计算单元、一装载IPSEC VPN单元的计算单元、一装载SSL单元的计算单元。
如上所述,在本实用新型中,通过利用SSL技术和IPSEC技术、或者利用SSL技术和802.1x+radius技术,能够提供一种可靠性高、防御能力强的可信边界安全网关。
附图说明
图1是表示本实用新型的可信边界安全网关的结构框图。
图2是表示采用本实用新型的可信边界安全网关的第一实施例的示意图。
图3是表示采用本实用新型的可信边界安全网关的第二实施例的示意图。
具体实施方式
本实用新型的可信边界安全网关是设置在用户端和应用服务器端之间,它用于对两者之间传输的数据进行安全防护。
图1是表示本实用新型的可信边界安全网关的结构框图。
如图1所示,本实用新型的可信边界安全网关100包括:用于进行链路层的数据包认证的802.1x接入子系统101、用于进行网络层认证即对IPSEC数据包进行认证的IPSEC VPN子系统102、以及用于认证和解密应用层的数据包并且根据设置在外部的门户网站和权限管理200进行SSL验证和权限验证的SSL子系统103。
首先,上述的802.1x接入子系统101和IPSEC VPN子系统102作为本实用新型的可信边界安全网关100的接入认证单元发挥作用。具体地,当用户端计算机通过网络例如以太网等直接连接到可信边界安全网关100的交换端口(未图示)情况下,则采用802.1x接入子系统101对用户端计算机发送的链路层数据进行认证。当用户端不是通过网络而是通过专线连接到可信边界安全网关100的交换端口(未图示)情况下,则无法利用802.1x接入子系统101而是采用IPSEC VPN子系统102完成对用户身份的验证。在同一可信边界安全网关100中,802.1x接入子系统101和IPSEC VPN子系统102两者作为接入认证单元可以择一而存在,也可以同时存在,换言之,在本实用新型中,作为可信边界安全网关100的接入认证单元,至少包含802.1x接入子系统101和IPSEC VPN子系统102中的一方。
具体地,上述802.1x接入子系统101是采用常规技术的802.1x的体系。一般,802.1x体系包括三部分:客户系统(Supplicant System)、认证服务代理系统(Authenticator System)、以及认证服务器系统(AuthenticationServer System)。客户系统是802.1x协议的被认证对象,是接入网络的用户计算机,该计算机上一般装有客户认证软件。认证服务代理系统是指“支持802.1x协议的网络设备的集合”例如交换机,它一方面与客户系统直接连接,一方面代理用户的认证信息到认证服务器上进行认证,并按认证结果执行逻辑端口的控制。认证服务器是802.1x中真正决定是否给用户接入的设备,现在常用RADIUS(Remote Authentication Dial In User Service)服务机制来实现802.1x体系中的认证应用系统。
这里,在本实用新型中,上述802.1x接入子系统101实质上等同于与一台802.1x交换机相关的一台radius认证服务器,该802.1x接入子系统101用于对通过专网接入的设备和用户进行认证即用于进行链路层的接入认证。
再者,上述IPSEC VPN子系统102是采用IPSEC(Internet ProotocolSecurity:网络安全协议)的VPN(Virtual Private Network:虚拟专用网络)。VPN是指在公众数据网络上建立属于自己的私有网络,它包含两方面的含义,首先它是“虚拟”的,不再使用长途专线建立私有数据网络,而是将其建立在分布广泛的公用网络上,例如,因特网;其次,它又是一个“专用网”,每个VPN的用户都可以临时从公用网络中获得一部分资源供自己使用。VPN既可以让用户连接到公网所能到达的任何地方,也可以容易地解决保密性、安全性等问题。又,IPSEC是VPN常用的一种国际化标准,IPSEC能够实现网络层连接,IPSEC协议主要包括ESP(Encapsulation Security Payload:封装安全有效荷载)、AH(Authentication Head:验证报头)、IKE(Internet KeyExchange:密钥交换)。这里,本实用新型的IPSEC VPN子系统102用于进行网络层的认证和加密,具体地是,在网络层使用IPSEC协议来完成对用户的身份验证,以对通过非专线接入的用户进行认证,例如,拨号接入、移动设备接入等。
再者,上述SSL子系统103是使用SSL(Security Socket Layer:安全套接字,可以简称为加密通信协议)的代理服务器,SSL是一种在Web服务协议(HTTP)和TCP/IP之间提供数据连接安全性的标准协议,能够保证浏览器和Web服务器之间交换信息双方的信息安全和可靠性。这里,本实用新型的SSL子系统103是以代理的形式认证和解密应用层的数据包,并且从外部的门户网站和权限管理200获取URL权限控制策略以进行SSL验证和权限验证。也就是说,用户发送的应用层数据必须同时通过SSL验证和权限验证之后,才能被转发到最终的应用服务器(即图1中所示的应用1、应用2、......应用n)。
另外,设置在可信边界安全网关100之外的门户网站和权限管理系统200配合该可信边界安全网关100进行权限管理,它用于发布用户应该如何访问应用、以及能访问哪些应用的指导性信息。所有向边界外用户开放的应用都需要到门户网站注册,同时通过门户网站的权限管理子系统授权访问。该门户网站的权限控制子系统可以独立完成粗粒度的控制,也可以与内部网络原有的访问控制系统相结合进行细粒度的控制。
以上,参照图1说明了本实用新型的可信边界安全网关100的各组成单元。这些组成单元集成在一个硬件系统中。例如,当可信边界安全网关100包含802.1x接入子系统101、IPSEC VPN子系统102以及SSL子系统103这3个组成单元的情况下,这3个组成单元集成在一个硬件系统中,具体地,该硬件系统包括一支持802.1X的计算单元、一装载IPSEC VPN子系统的计算单元以及一装载SSL子系统的计算单元。
以下,参照图2、图3说明本实用新型的可信边界安全网关100的二个实施方式。
第一实施方式
图2是表示采用本实用新型的可信边界安全网关(以下,简记为TBSG)的第一实施方式的示意图。
本实施方式是表示通过专线接入的情况,即将IPSEC VPN子系统102作为接入认证单元的实施方式。
如图2所示,TBSG 100连接用户计算机端和应用1、应用2、......应用n等的用户端,并且将根据设置在TBSG 100外部的门户网站和权限管理系统200进行安全认证。
例如, 当用户(例如,其它政法部门)向当地的公安部门申请了一根接入用专线,专线的一端是用户的局域网/终端计算机,另一端是进行TBSG 100。这种情况下,用户使用的计算机上预先安装TBSG的用户端,并配备已颁发好数字证书的USB KEY或IC卡,其认证和应用流程如下:1)用户在其浏览器上输入门户网站的地址(如:https://www.potral.ga);2)用户端将提示用户插入USB KEY并输入口令;3)用户端开始和TBSG进行IPSEC的密钥和策略协商;4)协商完成之后,用户浏览器发起的HTTPS连接将通过IPSEC封装后被发送到TBSG;5)TBSG在网络层验证用户IPSEC数据包的有效性,并进行IPSEC解包;6)TBSG在应用层对HTTPS包进行验证和解密,获取HTTP头,并检查URL是否为访问控制系统所允许;7)访问控制检查通过后,TBSG用与此用户证书关联的站点证书访问对应的应用系统,并将应用系统传回的信息回给用户。
第二实施方式
图3是表示采用本实用新型的可信边界安全网关的第二实施方式的示意图。
在本实施例中表示通过以太网接入的情况,即将802.1x接入子系统101作为接入认证单元的实施方式。
如图3所示,TBSG 100连接用户计算机端和应用1、应用2、......应用n等的用户端,并且将根据设置在TBSG 100外部的门户网站和权限管理系统200进行安全认证。
例如,用户使用以太网线直接连接到保密部门(例如,公安部门)的网络,网线的一端是用户的计算机,另一端是进行TBSG 100。这种情况下,用户使用的计算机上安装有TBSG的用户端,并配备已颁发好数字证书的USB KEY或IC卡,完整的认证和应用流程如下:1)用户在其浏览器上输入门户网站的地址(如:https://https://www.potral.ga);2)TBSG用户端将提示用户插入USB KEY并输入口令;3)TBSG用户端开始和TBSG 100进行802.1x的认证交互;4)用户浏览器发起的HTTPS连接被直接发送到TBSG;5)TBSG在应用层对HTTPS包进行验证和解密,获取HTTP头,并检查URL是否为访问控制系统所允许;6)访问控制检查通过后,TBSG用与此用户证书关联的站点证书访问对应的应用系统,并将应用系统传回的信息回给用户。
综上所述,在上述实施方式中,通过利用SSL技术和IPSEC技术、或者利用SSL技术和802.1x+radius技术,提高了网关的可靠性以及防御能力,由此,能够提供一种具备纵深防御能力的可信边界安全网关。
以上,参照附图对本实用新型的具体实施方式作了具体描述,然而,本领域中的普通技术人员应当理解,在不偏离本实用新型的精神和由权利要求书所限定的保护范围的情况下,本领域中的普通技术人员还可以对具体实施方式中所给出的情况作各种修改。因此,参照上述附图对本实用新型所作的具体实施方式描述不应当被看作是对本实用新型的限定。
Claims (8)
1.一种可信边界安全网关(100),连接用户端和应用服务器端,并且根据设于外部的门户网站和权限管理系统(200)的指导进行安全认证,其特征在于,包括:
接入认证单元,对接入到所述可信边界安全网关的用户端的身份进行认证;
SSL子系统(103),用于认证和解密应用层的数据包并且根据来自所述门户网站和权限管理系统(200)的信息进行SSL验证和权限验证;
2.如权利要求1的可信边界安全网关,其特征在于,
所述接入认证单元是802.1x接入子系统(101),该802.1x接入子系统用于进行链路层的接入认证。
3.如权利要求1的可信边界安全网关,其特征在于,
所述接入认证单元是IPSEC VPN子系统(102),该IPSEC VPN子系统用于进行网络层的认证和加密。
4.如权利要求1的可信边界安全网关,其特征在于,
所述接入认证单元包含:用于进行链路层的接入认证的802.1x接入子系统(101)和用于进行网络层的认证和加密的IPSEC VPN子系统(102)。
5.如权利要求1的可信边界安全网关,其特征在于,
所述SSL子系统(103)从所述门户网站和权限管理系统(200)获取URL权限控制来进行权限验证。
6.如权利要求2或4的可信边界安全网关,其特征在于,
所述802.1x接入子系统(101)是由与支持802.1x认证的交换机相关的radius认证服务器构成。
7.如权利要求1所述的可信边界安全网关,其特征在于,
所述可信边界安全网关的各组成单元集成在一个硬件系统中。
8.如权利要求4的可信边界安全网关,其特征在于,
所述可信边界安全网关的各组成单元集成在一个硬件系统中,其中,该硬件系统包括一支持802.1X的计算单元、一装载IPSEC VPN单元的计算单元、一装载SSL单元的计算单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200620129693 CN200962603Y (zh) | 2006-07-27 | 2006-07-27 | 一种可信边界安全网关 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200620129693 CN200962603Y (zh) | 2006-07-27 | 2006-07-27 | 一种可信边界安全网关 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN200962603Y true CN200962603Y (zh) | 2007-10-17 |
Family
ID=38799112
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200620129693 Expired - Lifetime CN200962603Y (zh) | 2006-07-27 | 2006-07-27 | 一种可信边界安全网关 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN200962603Y (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
| CN103379009A (zh) * | 2012-04-20 | 2013-10-30 | 南京易安联网络技术有限公司 | 基于数据链路层的ssl vpn通信方法 |
| CN104954315A (zh) * | 2014-03-24 | 2015-09-30 | 北京奇虎科技有限公司 | 提升安全套接层访问安全性的方法及装置 |
| CN106097167A (zh) * | 2016-06-07 | 2016-11-09 | 深圳心驰技术有限公司 | 一种金融押运信息服务系统 |
| CN109787988A (zh) * | 2019-01-30 | 2019-05-21 | 杭州恩牛网络技术有限公司 | 一种身份加强认证和鉴权方法及装置 |
-
2006
- 2006-07-27 CN CN 200620129693 patent/CN200962603Y/zh not_active Expired - Lifetime
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102571729A (zh) * | 2010-12-27 | 2012-07-11 | 方正宽带网络服务股份有限公司 | Ipv6网络接入认证方法、装置及系统 |
| CN103379009A (zh) * | 2012-04-20 | 2013-10-30 | 南京易安联网络技术有限公司 | 基于数据链路层的ssl vpn通信方法 |
| CN104954315A (zh) * | 2014-03-24 | 2015-09-30 | 北京奇虎科技有限公司 | 提升安全套接层访问安全性的方法及装置 |
| CN104954315B (zh) * | 2014-03-24 | 2018-03-06 | 北京奇虎科技有限公司 | 提升安全套接层访问安全性的方法及装置 |
| CN106097167A (zh) * | 2016-06-07 | 2016-11-09 | 深圳心驰技术有限公司 | 一种金融押运信息服务系统 |
| CN109787988A (zh) * | 2019-01-30 | 2019-05-21 | 杭州恩牛网络技术有限公司 | 一种身份加强认证和鉴权方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7552323B2 (en) | System, apparatuses, methods, and computer-readable media using identification data in packet communications | |
| US9781114B2 (en) | Computer security system | |
| US7769994B2 (en) | Content inspection in secure networks | |
| US20080192930A1 (en) | Method and System for Securely Scanning Network Traffic | |
| US20090313691A1 (en) | Identity verification system applicable to virtual private network architecture and method of the same | |
| AU2003294304B2 (en) | Systems and apparatuses using identification data in network communication | |
| Samociuk | Secure communication between OpenFlow switches and controllers | |
| CN200962603Y (zh) | 一种可信边界安全网关 | |
| Patni et al. | Man-in-the-middle attack in HTTP/2 | |
| CN101621503A (zh) | 应用于虚拟专用网络架构下的身份识别系统与方法 | |
| Yang et al. | Security on ipv6 | |
| Joshi | Network security: know it all | |
| JP4065850B2 (ja) | 移動ネットワーク環境におけるデータトラフィックの保護方法 | |
| Kleberger et al. | Securing vehicle diagnostics in repair shops | |
| Esper et al. | Implementing Protection on Internal Networks using IPSec Protocol | |
| Anderson | Securing embedded linux | |
| Krmelj et al. | Openspa-an open and extensible protocol for single packet authorization | |
| Ganguly | Network and application security: fundamentals and practices | |
| TEKDOĞAN et al. | Prevention Techniques for SSL Hacking Threats to E-Government Services. | |
| Kotzanikolaou et al. | Computer network security: Basic background and current issues | |
| CN117478392A (zh) | 使用客户端app扫描二维码的软件定义边界实现方法及系统 | |
| Limkar et al. | Geographically Secured SSL-VPN Using GPS | |
| Aro et al. | OPC UA Enables Secure Data Transfer and System Integrations in Private and Public Networks [J] | |
| Zave et al. | 1 Security provided by endpoints | |
| Efe et al. | Prevention Techniques for SSL Hacking Threats to E-Government Services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: THE THIRD RESEARCH INSTITUTE OF MINISTRY OF PUBLI Free format text: FORMER OWNER: THE THIRD RESEARCH INSTITUTE OF MINISTRY OF PUBLIC SECURITY Effective date: 20080926 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20080926 Address after: No. 76, Yueyang Road, Shanghai, China: 200031 Co-patentee after: Shanghai International Technology Trade Joint Service Co., Ltd. Patentee after: Third Research Institute of the Ministry of public security Address before: No. 76, Yueyang Road, Shanghai, China: 200031 Patentee before: The Third Research Institute of Ministry of Public Security |
|
| CX01 | Expiry of patent term |
Granted publication date: 20071017 |
|
| EXPY | Termination of patent right or utility model |