CN201194396Y - 基于透明代理网关的安全网关平台 - Google Patents
基于透明代理网关的安全网关平台 Download PDFInfo
- Publication number
- CN201194396Y CN201194396Y CNU2008201149441U CN200820114944U CN201194396Y CN 201194396 Y CN201194396 Y CN 201194396Y CN U2008201149441 U CNU2008201149441 U CN U2008201149441U CN 200820114944 U CN200820114944 U CN 200820114944U CN 201194396 Y CN201194396 Y CN 201194396Y
- Authority
- CN
- China
- Prior art keywords
- user
- proxy gateway
- authentication
- gateway
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Abstract
本实用新型公开了一种基于透明代理网关的安全网关平台,属于网络安全领域,其连接到被监控的网络线路上,包括管理中心,接收用户端电脑发出的登录消息进行主账号认证,发出认证结果;提供审计控制策略;提供访问受保护资源的从帐号/从密码;代理网关,接收管理中心发出的认证结果;另外,代理网关根据审计控制策略截获用户会话数据、并缓存在代理网关的内存中,根据审计控制策略发送用户会话数据;查询管理中心提供的从帐号/从密码、并代替用户代填;以及,数据中心,接收代理网关发送的用户会话数据,提供审计资料。本实用新型解决了需要在客户端和服务器上需要安装第三方软件的问题,构成完备的4A平台。
Description
技术领域
本实用新型涉及一种安全网关平台,尤其是一种基于透明代理网关的安全网关平台。
背景技术
通常的4A平台(认证、授权、审计、账号管理)是在统一部署4A相关服务的基础上,需要在受保护的服务器(或应用系统)和用户客户端上安装相应的代理/插件,实现服务器以及其上应用系统的4A管理响应处理和在客户端上实现用户票据保存以及用户信息代填等。事实上,出于系统稳定性和维护方便性的考虑,用户一般不希望在服务器和客户端上安装第三方软件。
通常的4A平台的审计信息来源仅仅限于系统syslog日志、服务器,以及其上应用系统和用户客户端上代理主动发送的日志。这样,在一定程度上降低了平台审计的力度。尽管目前市面上出现了基于代理网关和旁路抓包的审计产品,但是这些产品一个共同的不足是,没有很好地整合认证、授权、审计以及账号管理,因此市场上还没有一个比较完备的4A平台成熟的安全产品。
实用新型内容
本实用新型的目的是针对现有网络结构部署中存在的问题,提供一种无须在服务器与客户端上安装代理/插件的基于透明代理网关的安全网关平台。
一种基于透明代理网关的安全网关平台,连接到被监控的网络线路上,包括
管理中心,与用户建立连接,支持用户身份认证、集中管理、集中授权和访问控制、安全审计、以及取证管理;所述的管理中心接收用户发出的认证消息进行主账号认证,发出认证结果信息;提供访问受保护资源的从帐号或者从密码;提供包括时间策略和空间策略的访问控制策略;为用户提供审计监控和场景再现;
代理网关,具有认证用户列表,接收管理中心发出的认证结果信息,通过认证用户列表进行核实;所述的代理网关查询管理中心提供的访问受保护资源的从帐号或者从密码,并对核实通过的主账号进行从账号或者从密码的代填,实现登录被访问资源;另外,代理网关截获用户会话数据、并缓存在代理网关的内存中,以待发出用户会话数据;以及,
数据中心,接收代理网关发送的用户会话数据,提供审计资料。
优选的是,所述的代理网关、数据中心和管理中心分别作为单独服务器安装部署,其中代理网关具有至少三个网口,通过其中两个网口,代理网关透明地串行接入到被监控的网络线路上;剩余的一个网口连接到交换机上;所述的数据中心具有至少一个网口,数据中心通过此网口连接到所述的交换机上;所述的管理中心具有至少两个网口,管理中心通过其中一个网口连接到所述的交换机上;通过另外一个网口连接到被监控的网络线路上。
优选的是,所述的代理网关、数据中心和管理中心安装部署到一台服务器上,连接到被监控的网络线路上。
本实用新型的有益之处是:首先,由于本实用新型所述的基于透明代理网关的安全网关平台包括管理中心、数据中心和代理网关三部分,可以在一个平台上实现认证、授权、审计、账号管理;最后,代理网关透明地串行接入到被监控网络,由代理网关统一负责完成认证、代理工作,无须在服务器和客户端安装第三方软件,增加系统的稳定性,方便系统维护。
附图说明
图1为未部署本实用新型的网络结构示意图;
图2为部署了本实用新型的网络结构示意图;
图3为内网用户欲登录内网访问受保护资源区时,基于WEB浏览器进行主账号认证的处理流程示意图;
图4为内网用户欲登录内网访问受保护资源区时,在使用WEB浏览器进行主账号认证后,基于IP/MAC票据的协议内从账号代填认证的处理流程示意图;
图5为内网用户欲登录内网访问受保护资源区时,基于TELNET/SSH客户端进行主账号认证的处理流程示意图;
图6为内网用户欲登录内网访问受保护资源区时,在使用TELNET/SSH SHELL进行主账号认证后,基于IP/MAC票据的协议内从账号代填认证的处理流程示意图;
图7为外网用户欲登录内网访问受保护资源区时,基于WEB浏览器和客户端控件进行主账号认证的处理流程示意图;
图8为外网用户欲登录内网访问受保护资源区时,在使用WEB浏览器进行主账号认证后,基于客户端控件截获IP流并插入IP包票据的协议内从账号代填认证的处理流程示意图;
图9为外网用户欲登录内网访问受保护资源区时,在使用WEB浏览器进行主账号认证后,基于客户端控件截获IP流并插入IP包票据的协议外从账号代填认证的处理流程示意图。
具体实施方式
相对于图1所示的一般网络结构示意图,图2是部署实施了本实用新型所述的基于透明代理网关的安全网关平台30后的网络结构示意图,主要区别在于基于透明代理网关的安全网关平台30的部署,且基于透明代理网关的安全网关平台30为一个独立网络部署,不影响原网络的拓扑结构。
在典型部署中,代理网关31、数据中心33、管理中心34分别作为单独服务器安装部署;另外,典型部署支持简化安装实施,即将代理网关31、数据中心33、管理中心34全部安装部署在一台服务器上;而且基于透明代理网关的安全网关平台30也支持分布式部署,即部署多个代理网关31、多个数据中心33、一个管理中心34,代理网关31将审计数据发送到指定的数据中心33,同时代理网关31和数据中心33接受管理中心34的统一集中管理。
如图2所示,在典型部署中,基于透明代理网关的安全网关平台30通过三个网口接入到被监控网络:通过代理网关31的两个网口的桥接部署,实现代理网关透明地串行接入到被监控的网络线路上;通过管理中心34的第二个网口(别称认证网口)接入到被监控网络,实现被监控网络中用户可以到管理中心34进行主账号认证的认证服务。管理中心34的第二个网口可以接入到交换机13处而接入到被监控网络;这样被监控网络中原有的防火墙和代理网关31可以为管理中心34提供高强度的安全管理保障;代理网关31、数据中心33和管理中心34分别连接到交换机32上。基于透明代理网关的安全网关平台30各组成部分的功能如下:
代理网关31:实现网络层用户会话数据截获与转发功能,包括协议代理(基于代理防火墙)、数据转存、管理维护响应处理等。代理网关31以网桥方式透明部署,在Linux操作系统上基于内核层TPROXY和应用层IPTABLES实现了中间人协议代理,并且提供了协议代理框架,方便集成多种协议代理模块,支持加密的网络协议。因此,代理网关31基于代理防火墙提供的网络数据转发、客户端IP监听、服务端IP重新连接特性,协议代理很方便实现用户会话数据截获以及用户登录认证信息代填。出于性能方面的考虑,协议代理截获用户会话数据后,直接将会话数据先缓存在代理网关31的内存中。根据管理策略,后台运行的数据转存服务将缓存在内存中数据转发到后台数据中心33。
数据中心33:主要储存代理网关31截获的用户会话数据,并根据不同协议作一定的审计前预处理和管理维护响应处理。审计预处理服务对数据存储服务接收数据作会话审计预处理,包括会话数据进行重组分析、建立索引、主/从账号与会话关联等,并将分析结果保存在本机的海量存储设备中,以备审计服务使用。
管理中心34:是基于透明代理网关的安全网关平台30的最重要的部分,管理中心33提供帐号管理、认证服务、用户自服务、审计服务和管理维护等;具体包括:
1.账号管理服务提供主账号的增、删、改、查管理功能,从账号增、删、改、查管理以及从账号收集、从账号口令重置,主/从账号关联映射管理等。管理员可以制定账号策略、口令策略等,以及查询账号分布情况。
2.认证服务提供主账号认证服务,用户通过WEB浏览器或TELNET/SSH SHELL登录到认证服务进行主账号认证。认证服务在用户认证通过后,通知代理网关放行主账号访问,并实时监测主账号登录时所在的客户端状态。
3.用户自服务包括用户可用系统查询、从账号口令获取、用户基本信息更新(用户信息、主账号口令修改、具体从账号口令修改)等。
4.审计服务针对审计员操作提供服务,实现审计控制策略管理、会话搜索、会话审计等。审计员通过审计管理WEB终端实现对代理网关上审计控制策略配置,具体策略为会话阻止、会话放行并记录、会话放行不记录。审计员通过审计管理WEB终端对数据中心上的会话数据进行检索,并针对具体会话数据进行审计分析、回放等操作。
5.管理维护服务针对管理员操作提供服务。管理员通过管理维护终端对代理网关31和数据中心33进行配置与日常维护工作。主要功能为基于透明代理网关的安全网关平台30的系统配置、状态监控、权限管理以及访问控制等。
其中,账号管理流程如下:
管理员在基于透明代理网关的安全网关平台30的主账号信息,包括账号的增、删、改、查。
管理员在基于透明代理网关的安全网关平台30管理应用系统信息,包括应用系统的增、删、改、查。
管理员在基于透明代理网关的安全网关平台30管理从账号信息,包括具体应用系统上从账号收集、创建、删除、以及口令的接管修改等。
管理员在基于透明代理网关的安全网关平台30管理主/从账号关联,实现对平台用户(主账号)的系统访问授权(可以使用关联的从账号登录应用系统)。
基于透明代理网关的安全网关平台30的接入认证及审计采集的工作流程如下:
主账号认证:认证服务认证主账号,生成用户票据,通知代理网关31放行用户访问。
从账号认证:客户端发起协议会话来登录目标应用系统,代理网关31截获会话、伪装会话,并代填认证信息(从账号/从密码),实现从账号认证过程自动完成。
操作审计:用户在客户端执行命令操作时,协议代理截获后转发该操作到目标应用系统,同时协议代理记录操作日志发送到后台数据中心33;同样,目标服务响应操作时,代理网关31截获后转发响应到用户客户端,同时代理网关31记录响应日志发送到后台数据中心33。
登出处理:客户端主动或被动关闭主账号登录客户端时,认证服务检测到后通知代理网关禁止主账号通行。
如图2所示,用户端包括内网用户20和外网用户50,用户访问受保护资源区40前,首先用户必须通过WEB浏览器或TELNET/SSH SHELL登录到管理中心34进行主账号认证,然后用户使用相应的标准客户端工具(WEB浏览器、SSH标准客户端软件等)访问受保护资源区40。代理网关31上的协议代理(基于中间人方式)截获用户的会话,通过主账号标识(IP+MAC票据或IP包票据)识别用户,从管理中心34获取用户欲登录应用系统的具体从账号/从密码,然后协议代理自动代填登录认证信息(从账号/从密码)来实现用户的自动登录。同时,代理网关31基于代理人身份可以将所有用户的会话操作数据发送到数据中心33,实现用户操作行为的全面审计。代理网关31支持加密协议,如SSH、RDP等。
基于透明代理网关的安全网关平台30依托PKI公钥基础设施提供的公钥证书保障服务之间的通信安全,即代理网关31、数据中心33、管理中心34上的各服务在初始化运行时生成各自公私钥对,进而申请并安装对应的公钥证书。
如图3所示,内网用户20欲登录内网访问如图2所示的受保护资源区40时,基于WEB浏览器进行主账号认证的处理流程描述如下:
1.内网用户HTTPS登录管理中心34,WEB服务提供的认证页面,建立客户端与WEB服务的SSL安全通道;
2.WEB服务自动下载认证辅助信息(认证服务URL、认证服务公钥证书、认证信息提交表单)到客户端WEB浏览器;
3.WEB浏览器与认证服务建立安全通道;
a)首先WEB浏览器基于APPLET使用认证服务URL和认证服务建立SOCKET连接,之后使用认证服务公钥加密一段随机数RAND1,并将随机数密文和WEB服务公钥证书发送认证服务;
b)认证服务收到后使用自己私钥解密获取随机数RAND1,之后使用WEB服务公钥加密另一段随机数RAND2,并将随机数密文返回到APPLET;
c)APPLET将认证服务加密数据发送WEB服务解密来获取随机数RAND2;之后APPLET进行异或运算(RAND1^RAND2),合成会话密钥SESSIONKEY;
d)同样,认证服务也能合成本次会话密钥SESSIONKEY;
4.内网用户20选择具体认证方式(用户名/口令、证书认证等),输入认证相关信息,并确认提交。WEB浏览器基于APPLET使用SESSIONKEY加密用户认证信息,并发送认证服务;
5.认证服务使用SESSIONKEY解密用户认证信息,并验证内网用户20是否合法,从而实现主账号认证;之后,认证服务为内网用户20生成用户票据并签名,并将用户票据返回APPLET;其中用户票据内容包含:认证惟一标识、IP/MAC票据、认证有效期、以及内网用户20可以访问的应用系统IP地址;
6.认证服务同时下发内网用户20的认证信息(认证惟一标识、IP/MAC票据、认证有效期)到代理网关31的认证用户列表;
7.APPLET收到认证结果后,通过WEB浏览器提示内网用户20“主账号认证成功,请勿关闭本登录页面”,同时在认证页面显示内网用户20可访问的应用系统IP列表;
8.内网用户20在客户端主动或被动关闭主账号登录WEB浏览器时,认证服务检测到后立即更新代理网关31的认证用户列表,禁止主账号通行来访问受保护资源区。
如图4所示,内网用户20欲登录内网访问受保护资源区40时,在使用WEB浏览器进行主账号认证后,基于IP/MAC票据的协议内从账号代填认证的处理流程描述如下:
1.内网用户20在主账号认证通过后,获取了内网用户20可以访问的应用系统IP地址;内网用户20直接运行标准客户端软件,手动输入对应的目标应用系统IP地址,并确认登录;
2.代理网关31上的协议代理基于中间人截获内网用户20新的会话后,识别客户端IP/MAC,使用“认证用户列表”核实内网用户20的认证信息(认证惟一标识、IP/MAC票据、认证有效期),并将内网用户20的身份核实结果发送认证服务,若内网用户20的身份核实成功,放行内网用户20的访问,否则,主动关闭TCP连接;
3.认证服务处理代理网关31发送的内网用户20的身份核实结果;若内网用户20的身份核实成功,则更新用户票据,并下发WEB浏览器和代理网关31;若内网用户20的身份核实失败,则记录审计日志,并通知客户端WEB浏览器失败原因以便于内网用户20排查失败原因,或提示内网用户20可能存在攻击;
4.标准客户端软件和目标应用系统继续当前内网用户20的会话。并且WEB浏览器实时显示内网用户20登录目标应用系统的认证结果;
5.代理网关31上的协议代理基于中间人检测到需要提交从账号认证信息时,再利用通过步骤2获取的认证请求信息(主账号、目标IP和端口)到认证服务取得对应的从账号/从密码,然后代填认证信息,实现内网用户20自动登录到目标应用系统;
6.至此,内网用户20成功登录到目标应用系统,可以正常操作了。
7.代理网关31上的协议代理基于中间人来接收并转发内网用户20的会话,同时将内网用户20的会话数据发送数据中心33以便审计。
如图5所示,内网用户20欲登录内网访问受保护资源区40时,基于TELNET/SSH客户端进行主账号认证的处理流程描述如下:
1.内网用户20TELNET/SSH SHELL登录管理中心34WEB服务所在服务器,根据提示输入用户名/口令,即主账号/主密码;
2.WEB服务器接收到主账号/主密码后,通过PAM机制将认证信息转发到具体的认证服务进行主账号认证;
3.认证服务验证内网用户20是否合法,从而实现主账号认证;之后,认证服务为内网用户20生成用户票据并签名,并返回WEB服务器认证结果,同时下发内网用户20的认证信息(认证惟一标识、IP/MAC票据、认证有效期)到代理网关31的认证用户列表;其中用户票据内容包含:认证惟一标识、IP/MAC、认证有效期、以及内网用户20可以访问的应用系统IP地址;
4.WEB服务器收到认证结果后,返回TELNET/SSH客户端提示“主账号认证成功,请勿关闭本登录页面”,同时在页面显示内网用户20可访问的应用系统列表,WEB服务器提供的TELNET/SSH登录SHELL为受限SHELL,仅能认证内网用户20并显示认证结果;
5.内网用户20在客户端主动或被动关闭主账号登录SHELL时,WEB服务器检测到后通知认证服务处理,认证服务立即更新代理网关的认证用户列表,禁止主账号通行来访问受保护资源。
如图6所示,内网用户20欲登录内网访问受保护资源区40时,在使用TELNET/SSH SHELL进行主账号认证后,基于IP/MAC票据的协议内从账号代填认证的处理流程描述如下:
1.内网用户20在主账号认证通过后,获取了内网用户20可以访问的应用系统IP地址,内网用户20直接运行标准客户端软件,手动输入对应的目标应用系统IP地址,并确认登录;
2.代理网关31上的协议代理基于中间人截获用户新的会话后,识别客户端IP/MAC,使用“认证用户列表”核实内网用户20的认证信息(认证惟一标识、IP/MAC票据、认证有效期),并将内网用户20的身份核实结果发送认证服务;若内网用户20的身份核实成功,放行内网用户20的访问,否则,主动关闭TCP连接;
3.认证服务处理代理网关31发送的内网用户20的身份核实结果,若内网用户20的身份核实成功,则更新用户票据,并下发信息到客户端TELNET/SSH SHELL和代理网关31。若内网用户20的身份核实失败,则记录审计日志,并通知客户端控件失败原因以便于内网用户20排查失败原因,或提示内网用户20可能存在攻击;
4.标准客户端软件和目标应用系统继续当前内网用户20的会话,并且客户端SHELL实时显示内网用户20登录目标应用系统的认证结果;
5.代理网关31上的协议代理基于中间人检测到需要提交从账号认证信息时,再利用通过步骤2获取的认证请求信息(主账号、目标IP和端口)到认证服务取得对应的从账号/从密码,然后代填认证信息,实现内网用户20自动登录到目标应用系统;
6.至此,内网用户20成功登录到目标应用系统,可以正常操作了;
7.代理网关31上的协议代理基于中间人来接收并转发用户操作,同时将内网用户20的会话数据发送到数据中心33,以便审计。
需要说明的是,如果内网用户20使用TELNET/SSH SHELL进行主账号认证,必须采取以下必要安全措施:
1.在管理中心34部署能够监控跨网段的IP/MAC防篡改软件,并且IP/MAC防篡改软件的监控日志发送到基于透明代理网关的安全网关平台30,以便统一审计管理,及时阻止或发现网络攻击者;
2.建议内网用户20优先使用SSH SHELL进行主账号认证。
如图7所示,外网用户50欲登录内网访问受保护资源区40时,基于WEB浏览器和客户端控件进行主账号认证的处理流程描述如下:
1.外网用户50 HTTPS登录管理中心34WEB服务提供的认证页面,建立客户端与WEB服务的SSL安全通道。
2.如果外网用户50是在该客户端首次访问基于透明代理网关的安全网关平台30的WEB服务,则页面提示外网用户50在认证页面的软件下载区下载与客户端对应的客户端控件并安装;客户端控件安装同时安装WEB服务的公钥证书,并且客户端控件初始运行时自动在本地生成一对公私钥对(基于P12文件存储),外网用户50可以基于该公私钥对申请公钥证书并导入,或者外网用户50指定已存在的一对公私钥及其公钥证书的载体(如USB TOKEN);若客户端已安装客户端控件,则自动进行下述步骤;
3.WEB服务自动下载认证辅助信息(认证服务外网映射URL、认证服务公钥证书、认证信息提交表单)到客户端WEB浏览器;
4.WEB浏览器与认证服务建立安全通道:
a)首先WEB浏览器基于客户端控件使用认证服务URL和认证服务建立SOCKET连接,之后使用认证服务公钥加密一段随机数RAND1,并将随机数密文和WEB服务公钥证书发送认证服务;
b)认证服务收到后使用自己私钥解密获取随机数RAND1,之后使用WEB服务公钥加密另一段随机数RAND2,并将随机数密文返回到客户端控件;
c)客户端控件将加密数据发送WEB服务解密来获取随机数RAND2,之后客户端控件进行异或运算(RAND1^RAND2),合成会话密钥SESSIONKEY;同样,认证服务也能合成本次会话密钥SESSIONKEY;
5.外网用户50选择认证方式(用户名/口令、证书认证等),输入认证相关信息,并确认提交;
6.WEB浏览器基于客户端控件使用SESSIONKEY加密外网用户50的认证信息,并发送认证服务;
7.认证服务使用SESSIONKEY解密外网用户50的认证信息,并验证外网用户50是否合法,从而实现主账号认证;之后,认证服务为外网用户50生成用户票据并签名,并将用户票据返回客户端控件,同时下发外网用户50的认证信息(认证惟一标识、IP包票据、认证有效期)到代理网关31的认证用户列表。其中用户票据内容包含:认证惟一标识、限一次使用标识、认证有效期、以及外网用户50可以访问的应用系统的外网映射IP地址;
8.客户端控件收到认证结果后,通过WEB浏览器提示外网用户50“主账号认证成功,请勿关闭本登录页面”,同时在认证页面显示外网用户50可访问的应用系统列表;
9.外网用户50在客户端主动或被动关闭主账号登录WEB浏览器时,认证服务检测到后立即更新代理网关31的认证用户列表,禁止主账号通行来访问受保护资源区。
如图8所示,外网用户50欲登录内网访问受保护资源区40时,在使用WEB浏览器进行主账号认证后,基于客户端控件截获IP流并插入IP包票据的协议内从账号代填认证的处理流程描述如下:
1.外网用户50在主账号认证通过后,获取了外网用户50可以访问的应用系统的外网映射IP地址;外网用户50可以在WEB浏览器启动标准客户软件来登录对应的目标应用系统,也可以直接运行标准客户端软件,手动输入对应的目标应用系统的外网映射IP地址;
2.客户端控件检测到外网用户50新的会话欲访问外部IP时,截获并暂停该IP流,获取IP地址信息,并与用户票据中的外网用户50可以访问的应用系统的外网映射IP地址进行比对,若不存在则直接放行不处理,否则进行下述步骤;
3.客户端控件与代理网关建立安全通道:
a)首先客户端控件伪装TCP会话包含IP票据标识和客户端控件公钥证书(或公钥),发送外网用户50欲访问的目标应用系统;
b)代理网关31上的协议代理基于中间人截获后,识别IP票据标识后,协议代理使用客户端控件公钥加密一段随机数RAND1,并使用代理网关私钥签名,之后将签名后的随机数密文和代理网关公钥证书(必须是公钥证书而非公钥)返回客户端控件。否则,主动关闭TCP连接;
c)若通信继续,客户端控件收到后,首先验证代理网关公钥证书、验证随机数密文签名,使用客户端控件私钥解密获取随机数RAND1,之后使用代理网关31的公钥加密另一段随机数RAND2,并将加密后随机数发送外网用户50欲访问的目标应用系统;
d)代理网关31上的协议代理截获后,使用代理网关31的私钥解密来获取随机数RAND2。之后协议代理进行异或运算(RAND1^RAND2),合成会话密钥SESSIONKEY;同样,客户端控件也能合成本次会话密钥SESSIONKEY;
4.客户端控件通知代理网关31放行外网用户50的访问:
a)客户端控件伪装TCP会话包含使用SESSIONKEY加密的用户票据(别称IP包票据),并发送用户欲访问的目标应用系统;
b)代理网关31上的协议代理基于中间人截获后,识别票据标识后,验证票据签名,使用“认证用户列表”核实用户认证信息(认证惟一标识、IP包票据、认证有效期),并将外网用户50的身份核实结果发送认证服务;
c)若外网用户50的身份核实成功,通知客户端控件可以放行用户访问,否则,主动关闭TCP连接;
5.认证服务处理代理网关31发送的外网用户50的身份核实结果;若外网用户50的身份核实成功,则更新用户票据,并下发客户端控件和代理网关31;若外网用户50的身份核实失败,则记录审计日志,并通知客户端控件失败原因以便于外网用户50排查失败原因,或提示用户可能存在攻击;
6.客户端控件接收到代理网关31返回的通知后,若失败则提示用户不允许登录,否则客户端控件放行截获IP流;并且WEB浏览器实时显示外网用户50登录目标应用系统的认证结果;
7.代理网关31上的协议代理基于中间人截获后,首先利用步骤4获取的认证请求信息(主账号、目标IP和端口)到认证服务取得对应的从账号/从密码,然后代填认证信息,实现外网用户50自动登录到目标应用系统;
8.至此,外网用户50成功登录到目标应用系统,可以正常操作了;
9.代理网关31上的协议代理基于中间人来接收并转发用户操作,同时将外网用户50的会话数据发送到数据中心33,以便审计。
如图9所示,外网用户50欲登录内网访问受保护资源区40时,在使用WEB浏览器进行主账号认证后,基于客户端控件截获IP流并插入IP包票据的协议外从账号代填认证的处理流程描述如下:
其中,步骤1~5同上述的外网用户50欲登录内网访问受保护资源区40时,在使用WEB浏览器进行主账号认证后,基于客户端控件截获IP流并插入IP包票据的协议内从账号代填认证的处理流程所述的步骤1~5相同;
6.客户端控件接收到代理网关31返回的通知后,若失败则提示外网用户50不允许登录,否则客户端控件放行截获IP流;
7.代理网关31上的协议代理对于已认证的、但不支持协议内从账号代填的会话直接放行;
8.客户端控件检测到标准客户端软件需要用户填写用户名/口令时,首先利用认证请求信息(主账号、目标IP和端口)到认证服务取得对应的从账号/从密码,然后代填认证信息,实现外网用户50自动登录到目标应用系统;
9.至此,外网用户50成功登录到目标应用系统,可以正常操作了;
10.这种情况下,代理网关31不能记录外网用户50会话到数据中心33。
需要说明的是,基于WEB浏览器和客户端控件进行主账号认证和协议内/外从账号代填的处理流程同样适用于内网用户20。
Claims (3)
1.一种基于透明代理网关的安全网关平台,连接到被监控的网络线路上,其特征在于:包括
管理中心,与用户建立连接,支持用户身份认证、集中管理、集中授权和访问控制、安全审计、以及取证管理;所述的管理中心接收用户发出的认证消息进行主账号认证,发出认证结果信息;提供访问受保护资源的从帐号或者从密码;提供包括时间策略和空间策略的访问控制策略;为用户提供审计监控和场景再现;
代理网关,具有认证用户列表,接收管理中心发出的认证结果信息,通过认证用户列表进行核实;所述的代理网关查询管理中心提供的访问受保护资源的从帐号或者从密码,并对核实通过的主账号进行从账号或者从密码的代填,实现登录被访问资源;另外,代理网关截获用户会话数据、并缓存在代理网关的内存中,以待发出用户会话数据;以及,
数据中心,接收代理网关发送的用户会话数据,提供审计资料。
2.根据权利要求1所述的基于透明代理网关的安全网关平台,其特征在于:所述的代理网关、数据中心和管理中心分别作为单独服务器安装部署,其中代理网关具有至少三个网口,通过其中两个网口,代理网关透明地串行接入到被监控的网络线路上;剩余的一个网口连接到交换机上;所述的数据中心具有至少一个网口,数据中心通过此网口连接到所述的交换机上;所述的管理中心具有至少两个网口,管理中心通过其中一个网口连接到所述的交换机上;通过另外一个网口连接到被监控的网络线路上。
3.根据权利要求1所述的基于透明代理网关的安全网关平台,其特征在于:所述的代理网关、数据中心和管理中心安装部署到一台服务器上,连接到被监控的网络线路上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008201149441U CN201194396Y (zh) | 2008-05-08 | 2008-05-08 | 基于透明代理网关的安全网关平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008201149441U CN201194396Y (zh) | 2008-05-08 | 2008-05-08 | 基于透明代理网关的安全网关平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201194396Y true CN201194396Y (zh) | 2009-02-11 |
Family
ID=40393928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNU2008201149441U Expired - Lifetime CN201194396Y (zh) | 2008-05-08 | 2008-05-08 | 基于透明代理网关的安全网关平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201194396Y (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN103248531A (zh) * | 2012-11-16 | 2013-08-14 | 佳都新太科技股份有限公司 | 一种服务器网管监测方式 |
| CN103269343A (zh) * | 2013-05-21 | 2013-08-28 | 福建畅云安鼎信息科技有限公司 | 业务数据安全管控平台 |
| CN103281305A (zh) * | 2013-05-02 | 2013-09-04 | 四川慧龙科技有限责任公司 | 基于安全网关的智慧城市系统的接入控制方法 |
| CN105871878A (zh) * | 2016-05-06 | 2016-08-17 | 张红军 | 登录方法及系统 |
| CN106358184A (zh) * | 2016-08-31 | 2017-01-25 | 天津灵创智恒软件技术有限公司 | 一种点对点身份认证方法 |
| CN108243187A (zh) * | 2017-12-29 | 2018-07-03 | 亿阳安全技术有限公司 | 一种基于ssh隧道的自动加密方法、系统及服务模块 |
| CN108650209A (zh) * | 2018-03-06 | 2018-10-12 | 北京信安世纪科技股份有限公司 | 一种单点登录的方法、系统、装置及认证方法 |
| CN110213215A (zh) * | 2018-08-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种资源访问方法、装置、终端和存储介质 |
| CN110557366A (zh) * | 2019-07-15 | 2019-12-10 | 安徽继远软件有限公司 | 一种基于跨网络传输及ctid网证认证的身份认证系统及认证方法 |
| CN111628960A (zh) * | 2019-02-27 | 2020-09-04 | Ovh公司 | 用于网络管理的系统和方法 |
| CN113114464A (zh) * | 2020-01-13 | 2021-07-13 | 中国移动通信集团重庆有限公司 | 统一安全管理系统及身份认证方法 |
| CN113271302A (zh) * | 2021-05-13 | 2021-08-17 | 中国联合网络通信集团有限公司 | 身份认证方法、装置和电子设备 |
| CN114338087A (zh) * | 2021-12-03 | 2022-04-12 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
-
2008
- 2008-05-08 CN CNU2008201149441U patent/CN201194396Y/zh not_active Expired - Lifetime
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101588360A (zh) * | 2009-07-03 | 2009-11-25 | 深圳市安络大成科技有限公司 | 内部网络安全管理的相关设备及方法 |
| CN103248531A (zh) * | 2012-11-16 | 2013-08-14 | 佳都新太科技股份有限公司 | 一种服务器网管监测方式 |
| CN103281305A (zh) * | 2013-05-02 | 2013-09-04 | 四川慧龙科技有限责任公司 | 基于安全网关的智慧城市系统的接入控制方法 |
| CN103281305B (zh) * | 2013-05-02 | 2016-05-11 | 四川慧龙科技有限责任公司 | 基于安全网关的智慧城市系统的接入控制方法 |
| CN103269343A (zh) * | 2013-05-21 | 2013-08-28 | 福建畅云安鼎信息科技有限公司 | 业务数据安全管控平台 |
| CN103269343B (zh) * | 2013-05-21 | 2017-08-25 | 福建畅云安鼎信息科技有限公司 | 业务数据安全管控平台 |
| CN105871878A (zh) * | 2016-05-06 | 2016-08-17 | 张红军 | 登录方法及系统 |
| CN106358184A (zh) * | 2016-08-31 | 2017-01-25 | 天津灵创智恒软件技术有限公司 | 一种点对点身份认证方法 |
| CN108243187A (zh) * | 2017-12-29 | 2018-07-03 | 亿阳安全技术有限公司 | 一种基于ssh隧道的自动加密方法、系统及服务模块 |
| CN108650209B (zh) * | 2018-03-06 | 2021-05-14 | 北京信安世纪科技股份有限公司 | 一种单点登录的方法、系统、装置及认证方法 |
| CN108650209A (zh) * | 2018-03-06 | 2018-10-12 | 北京信安世纪科技股份有限公司 | 一种单点登录的方法、系统、装置及认证方法 |
| CN110213215B (zh) * | 2018-08-07 | 2022-05-06 | 腾讯云计算(北京)有限责任公司 | 一种资源访问方法、装置、终端和存储介质 |
| CN110213215A (zh) * | 2018-08-07 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 一种资源访问方法、装置、终端和存储介质 |
| CN111628960A (zh) * | 2019-02-27 | 2020-09-04 | Ovh公司 | 用于网络管理的系统和方法 |
| US11431761B2 (en) | 2019-02-27 | 2022-08-30 | Ovh | Systems and methods for network management |
| CN111628960B (zh) * | 2019-02-27 | 2022-11-25 | Ovh公司 | 用于连接至专用网络上的网络服务的方法和装置 |
| CN110557366A (zh) * | 2019-07-15 | 2019-12-10 | 安徽继远软件有限公司 | 一种基于跨网络传输及ctid网证认证的身份认证系统及认证方法 |
| CN110557366B (zh) * | 2019-07-15 | 2022-04-12 | 安徽继远软件有限公司 | 一种基于跨网络传输及ctid网证认证的身份认证系统及认证方法 |
| CN113114464A (zh) * | 2020-01-13 | 2021-07-13 | 中国移动通信集团重庆有限公司 | 统一安全管理系统及身份认证方法 |
| CN113114464B (zh) * | 2020-01-13 | 2023-10-27 | 中国移动通信集团重庆有限公司 | 统一安全管理系统及身份认证方法 |
| CN113271302A (zh) * | 2021-05-13 | 2021-08-17 | 中国联合网络通信集团有限公司 | 身份认证方法、装置和电子设备 |
| CN113271302B (zh) * | 2021-05-13 | 2023-04-07 | 中国联合网络通信集团有限公司 | 身份认证方法、装置和电子设备 |
| CN114338087A (zh) * | 2021-12-03 | 2022-04-12 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
| CN114338087B (zh) * | 2021-12-03 | 2024-03-15 | 成都安恒信息技术有限公司 | 一种基于防火墙的定向运维审计方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN201194396Y (zh) | 基于透明代理网关的安全网关平台 | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| CN102594823B (zh) | 一种远程安全访问智能家居的可信系统 | |
| US8838965B2 (en) | Secure remote support automation process | |
| US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
| EP2328319B1 (en) | Method, system and server for realizing the secure access control | |
| CN103297437B (zh) | 一种移动智能终端安全访问服务器的方法 | |
| US7853783B2 (en) | Method and apparatus for secure communication between user equipment and private network | |
| CN109120620B (zh) | 一种服务器管理方法及系统 | |
| JP5860815B2 (ja) | コンピューターポリシーを施行するためのシステムおよび方法 | |
| EP1635502B1 (en) | Session control server and communication system | |
| CN107122674B (zh) | 一种应用于运维审计系统的oracle数据库的访问方法 | |
| EP3605948B1 (en) | Distributing overlay network ingress information | |
| US9876773B1 (en) | Packet authentication and encryption in virtual networks | |
| CN101447907A (zh) | Vpn安全接入方法及系统 | |
| WO2004034645A1 (ja) | Wlan相互接続における識別情報の保護方法 | |
| CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
| US20080072280A1 (en) | Method and system to control access to a secure asset via an electronic communications network | |
| CN112383557B (zh) | 一种安全接入网关及工业设备通信管理方法 | |
| CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
| CN114500120A (zh) | 一种公共云的扩展方法、设备、系统及存储介质 | |
| CN102025748A (zh) | 获取Kerberos认证方式的用户名的方法、装置和系统 | |
| US7424736B2 (en) | Method for establishing directed circuits between parties with limited mutual trust | |
| TW201417542A (zh) | 虛擬網路構建系統、虛擬網路構建方法、小型終端及認證伺服器 | |
| CN101938428B (zh) | 一种报文的传输方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: Tianjin Haitai green industry base Huayuan Industrial Zone K1-1-601 room Patentee after: Tianjin Rui digital security system Limited by Share Ltd Address before: 100088 Beijing Beitaipingzhuang Howell Road No. 25 building room 406 Patentee before: Guorui Digital Safety System Co., Ltd., Tianjin |
|
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20090211 |