CN201252570Y - 一种安全网关客户端装置 - Google Patents
一种安全网关客户端装置 Download PDFInfo
- Publication number
- CN201252570Y CN201252570Y CNU2008201524894U CN200820152489U CN201252570Y CN 201252570 Y CN201252570 Y CN 201252570Y CN U2008201524894 U CNU2008201524894 U CN U2008201524894U CN 200820152489 U CN200820152489 U CN 200820152489U CN 201252570 Y CN201252570 Y CN 201252570Y
- Authority
- CN
- China
- Prior art keywords
- module
- access
- data
- client device
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本实用新型公开一种安全网关客户端装置,它包括对访问请求进行身份认证的认证模块、用于注册安全网关客户端装置的硬件信息并读取或存储相关配置的注册配置模块、用于实现数据的间接传输并避免遭到攻击的代理模块及用于提供加密算法支持并在用户访问和数据传输时对数据或消息进行加密传输的密码模块组成;采用重定向和代理访问相结合的访问方法,首先检测用户访问行为,根据用户行为,将用户访问重定向到客户端,客户端采用代理的方法访问网关服务器,网关服务器再去连接应用服务器,使用户可以自由访问网关保护的多个应用系统,保证了访问的安全,实现本实用新型的目的。
Description
技术领域
本实用新型涉及一种客户端装置,特别涉及一种适用于计算机信息安全领域的安全网关客户端装置。
背景技术
随着网络的快速发展,跨网络的应用访问已经成为一种趋势,而保障在跨网络过程中的数据安全性,成为跨网络应用访问面临的一个重要问题。
然而,传统的设置在网络中的网关,其网关用户可以通过探测、侦听等手端获取目标资料的地址,造成安全的隐患,同时也给用户带来了不便,无法保证跨网络信息传输的安全、保密和完整,实现网关客户端与服务器之间身份的有效认证、授权和数据传输安全。
因此,特别需要一种安全网关客户端装置,保证跨网络信息传输的安全、保密和完整,实现网关客户端与服务器之间身份的有效认证、授权和数据传输安全。
实用新型内容
本实用新型所要解决的技术问题在于提供一种安全网关客户端装置,弥补现有网关的不足,保证用户的安全登录及数据的安全性,实现资源整合、信息安全共享,保证各类网络业务的顺利开展。
本实用新型所要解决的技术问题可以通过以下技术方案来实现:
一种安全网关客户端装置,其特征在于,它包括:对访问请求进行身份认证的认证模块、用于注册安全网关客户端装置的硬件信息并读取或存储相关配置的注册配置模块、用于实现数据的间接传输并避免遭到攻击的代理模块及用于提供加密算法支持并在用户访问和数据传输时对数据或消息进行加密传输的密码模块组成。
所述代理模块包括重定向模块和代理访问模块。
所述密码模块包括用于提供加密算法支持的密码服务模块和在用户访问和数据传输时请求所述密码服务模块提供相应加密算法对数据或消息进行加密传输的密码加密连接模块。
本实用新型的安全网关客户端装置,采用重定向和代理访问相结合的访问方法,首先检测用户访问行为,根据用户行为,将用户访问重定向到客户端,客户端采用代理的方法访问网关服务器,网关服务器再去连接应用服务器,使用户可以自由访问网关保护的多个应用系统,保证了访问的安全,实现本实用新型的目的。
附图说明
图1为本实用新型的安全网关客户端装置的系统框图;
图2为本实用新型的安全网关客户端装置的逻辑框图。
具体实施方法
为了使本实用新型实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本实用新型。
如图1所示,一种安全网关客户端装置,它包括认证模块1、注册配置模块2、代理模块3及密码模块组成,所述密码模块包括密码服务模块41和加密连接模块42。
注册配置模块2对所述安全网关客户端装置进行信息注册,配置代理模块3的代理方式、加密连接模块42的联机方式以及密码服务模块41的密码使用条件、服务种类、选择密码算法等。
当用户要通过所述安全网关客户端装置访问内部应用时,首先必须通过所述安全网关客户端装置的认证模块1进行认证,通过认证的用户才能进行后续的相关操作。
认证模块1采取终端认证加用户认证的综合认证模式;在注册配置模块2对所述安全网关客户端装置进行信息注册时,所述安全网关客户端装置在线时通过认证模块1进行终端认证。
所述安全网关客户端装置可以通过认证模块1对安全认证服务的认证方式以及是否向应用传递等进行控制来满足用户的不同实际需要,选择安全认证服务的认证模式,有以下几种模式:
1、不验证,表示使用单向认证模式,用户不需要提交证书就可以与服务端建立连接;
2、可选验证,表示使用单双向的可选认证模式,用户既可以提交证书也可以不提交证书都可以与服务端建立连接;用户提交的证书也必须是在安全认证服务配置的信任证书链中;
3、强制验证,表示使用双向认证模式,用户必须提交有效证书才能与服务端建立连接,但安全认证服务只验证用户是否在信任链内,并不验证黑名单;此项时安全认证服务在证书配置中必须选择相应证书链才能完成双向认证功能。
在认证模块1进行用户认证时采用黑名单方式,用户提交身份证书,如果是不验证方式,则直接进行访问,如果是可选验证或强制性验证则使用客户端调用黑名单列表进行比对,通过验证的用户则可以访问系统,否则拒绝访问。
所述密码模块分成密码服务模块41和加密连接模块42两种方式,密码服务模块41提供多种加密算法支持,通过注册配置模块2对密码服务模块41的密码算法如通用算法、国密指定算法等进行分配或指定。
当用户访问和数据传输时候,加密连接模块42向密码服务模块41请求对应的密码算法服务,对数据或消息进行加密传输,采用SSL握手阶段协商产生密钥对应用数据和IP数据包加密。
如图2所示,代理模块3包括重定向模块31和代理访问模块32,重定向模块31被加载到每个进程的运行空间中,当检测到应用客户端发往应用服务器的TCP连接之后进行判断,重定向模块31将修改该TCP连接的目的地址和端口为所述安全网关客户端装置的本地服务监听端口(通常为127.0.0.1:9986),同时保存下该TCP连接原来要连接的目的地址和端口。当和本地安全网关客户端服务连接成功之后,重定向模块31立即将该TCP连接原来的目的地址发送给所述安全网关客户端装置,所述安全网关客户端装置通过代理访问模块32再去和安全网关服务器通讯,通过重定向模块31应用客户端并不知道自己连接的目标地址已经被更改了,提高了安全性能。
所述安全网关客户端装置需要为每一个需要代理的应用客户端建立一个代理服务,此服务需要设置一个被代理的应用服务器的地址和端口,所有连接到此服务本地监听端口的连接都会被转发到该应用服务器上去。
当代理访问模块32接收到一个新的代理连接时,它也会检测此代理连接的目标地址和端口,这里的地址可以是域名,也可以是IP地址,根据网络连接的不同,自动检测,然后搜索代理服务的代理规则配置文件,根据代理规则配置文件来取出此次代理所需要的安全网关服务器及端口,并将信息组合,发送给安全网关服务器,安全网关服务器再去连接应用服务器。
注册配置模块2主要对所述安全网关客户端装置的相关参数进行注册,只有注册过的终端才能联网,该模块还对认证模块1、密码服务模块41等模块的一些基本参数进行设置。
注册配置模块2的基本参数如表1所示,基本参数注册和配置决定了所述安全网关客户端装置的终端信息、代理模式、数据流向等。基本参数注册和配置是由专门的证服务页面提供,容易修改和维护。
表1 注册配置模块2的基本参数注册配置表
| 一些基本注册项名称 | 填写内容说明 |
| 终端设备名称 | 字符串 |
| 设备类型 | 字符串 |
| IP地址 | 字符串,该设备与平台连接使用的地址 |
| MAC地址 | 字符串 |
| 终端认证手段 | 字符串 |
| 网络接入模式 | 字符串 |
| 是否有二次接入 | 字符,是或否 |
| 二次接入网络名称 | 字符串 |
| 是否装有设备监控端 | 字符,是或否 |
| 监控端名称 | 字符串 |
| 代理应用方式 | 字符串 |
| 认证方式 | 字符串 |
| 后台协议类型 | 字符串 |
| 本地服务端口 | 字符串 |
| 后台服务地址 | 字符串 |
| 加密连接方式 | 字符串 |
| 密码算法配置 | 字符串 |
| 使用人 | 字符串 |
| 使用单位 | 字符串 |
| 生产厂家名称/型号 | 字符串,如:XXX公司/SEM-I100 |
| 生产厂家支持电话 | 字符串 |
其中,连接模式有以下几种:
1、安全网关客户端反向代理模式:该模式下,单个代理只能支持一个最终应用,其地址只能由网关决定,客户端访问的是网关的地址,如果是B/S方式,则用户需要在浏览器中使用Https访问;网络接入模式(与客户端装置配合使用):该模式下,单个代理可以支持多个应用,最终应用的地址由用户决定,客户端访问的地址就是最终应用的地址,并且无需改变原有协议。
后台协议类型:在反向代理模式下,后台服务的协议类型为HTTP。而在接入模式时,无需指定协议类型。
本地服务IP地址:对用户提供服务的地址,地址必须为网络配置中网络接口或者虚拟接口具有的地址,通常为与用户网络连接的网络接口的地址,即用户可以通过此地址访问网关服务。
本地服务端口号:对用户提供服务的端口号,范围从1-65535,避免使用其它协议约定的端口,如80,21,22等,建议使用443端口,443端口是https的默认端口号,即https://192.168.191.7:443等同于https://192.168.191.7。
后台服务地址:被系统保护的服务器地址或者域名,此地址必须是网关服务器能够访问的地址。当代理模式为TBSG接入模式时,此地址无需指定。
后台服务端口号:被系统保护的服务器的端口号。当代理模式为接入模式时,此端口无需指定。
以上显示和描述了本实用新型的基本原理和主要特征及其优点。本行业的技术人员应该了解,本实用新型不受上述实施例的限制,上述实施例和说明书中描述的只是说明本实用新型的原理,在不脱离本实用新型精神和范围的前提下,本实用新型还会有各种变化和改进,这些变化和改进都落入要求保护的本实用新型范围内。本实用新型要求保护范围由所附的权利要求书及其等效物界定。
Claims (4)
1、一种安全网关客户端装置,其特征在于,它包括:对访问请求进行身份认证的认证模块、用于注册安全网关客户端装置的硬件信息并读取或存储相关配置的注册配置模块、用于实现数据的间接传输并避免遭到攻击的代理模块及用于提供加密算法支持并在用户访问和数据传输时对数据或消息进行加密传输的密码模块组成。
2、如权利要求1所述的安全网关客户端装置,其特征在于,所述代理模块包括重定向模块和代理访问模块。
3、如权利要求2所述的安全网关客户端装置,其特征在于,所述重定向模块加载在每个进程的运行空间中。
4、如权利要求1所述的安全网关客户端装置,其特征在于,所述密码模块包括用于提供加密算法支持的密码服务模块和在用户访问和数据传输时请求所述密码服务模块提供相应加密算法对数据或消息进行加密传输的密码加密连接模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008201524894U CN201252570Y (zh) | 2008-08-29 | 2008-08-29 | 一种安全网关客户端装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2008201524894U CN201252570Y (zh) | 2008-08-29 | 2008-08-29 | 一种安全网关客户端装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201252570Y true CN201252570Y (zh) | 2009-06-03 |
Family
ID=40748233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNU2008201524894U Expired - Lifetime CN201252570Y (zh) | 2008-08-29 | 2008-08-29 | 一种安全网关客户端装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201252570Y (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752269A (zh) * | 2011-04-21 | 2012-10-24 | 中国移动通信集团广东有限公司 | 基于云计算的身份认证的方法、系统及云端服务器 |
| CN107508805A (zh) * | 2017-08-10 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种数据包处理方法及系统 |
| CN111107150A (zh) * | 2019-12-16 | 2020-05-05 | 联想(北京)有限公司 | 连接方法、网关装置和用于客户端的连接装置 |
| CN111742533A (zh) * | 2018-02-26 | 2020-10-02 | 迈克菲有限责任公司 | 具有访问检查点的网关 |
| CN113612790A (zh) * | 2021-08-11 | 2021-11-05 | 上海观安信息技术股份有限公司 | 基于设备身份预认证的数据安全传输方法及装置 |
| WO2024140136A1 (zh) * | 2022-12-27 | 2024-07-04 | 中国银联股份有限公司 | 资源访问方法、装置、设备、介质及产品 |
-
2008
- 2008-08-29 CN CNU2008201524894U patent/CN201252570Y/zh not_active Expired - Lifetime
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102752269A (zh) * | 2011-04-21 | 2012-10-24 | 中国移动通信集团广东有限公司 | 基于云计算的身份认证的方法、系统及云端服务器 |
| CN102752269B (zh) * | 2011-04-21 | 2015-10-07 | 中国移动通信集团广东有限公司 | 基于云计算的身份认证的方法、系统及云端服务器 |
| CN107508805A (zh) * | 2017-08-10 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种数据包处理方法及系统 |
| CN107508805B (zh) * | 2017-08-10 | 2019-01-25 | 北京明朝万达科技股份有限公司 | 一种数据包处理方法及系统 |
| CN111742533A (zh) * | 2018-02-26 | 2020-10-02 | 迈克菲有限责任公司 | 具有访问检查点的网关 |
| CN111107150A (zh) * | 2019-12-16 | 2020-05-05 | 联想(北京)有限公司 | 连接方法、网关装置和用于客户端的连接装置 |
| CN113612790A (zh) * | 2021-08-11 | 2021-11-05 | 上海观安信息技术股份有限公司 | 基于设备身份预认证的数据安全传输方法及装置 |
| CN113612790B (zh) * | 2021-08-11 | 2023-07-11 | 上海观安信息技术股份有限公司 | 基于设备身份预认证的数据安全传输方法及装置 |
| WO2024140136A1 (zh) * | 2022-12-27 | 2024-07-04 | 中国银联股份有限公司 | 资源访问方法、装置、设备、介质及产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11012437B2 (en) | Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials | |
| Pereira et al. | An authentication and access control framework for CoAP-based Internet of Things | |
| US8438631B1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| US7769994B2 (en) | Content inspection in secure networks | |
| US7984290B2 (en) | System and method for encrypted communication | |
| US8281371B1 (en) | Authentication and authorization in network layer two and network layer three | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| CN105429962B (zh) | 一种通用的面向加密数据的中间网络服务构建方法与体系 | |
| CN201252570Y (zh) | 一种安全网关客户端装置 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN111935213B (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
| CN117560170A (zh) | 用于混合计算机网络环境的设备、方法和计算机可读介质 | |
| CN101521667B (zh) | 一种安全的数据通信方法及装置 | |
| CN101599967A (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| WO2014105914A1 (en) | Security enclave device to extend a virtual secure processing environment to a client device | |
| KR20150053912A (ko) | 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들 | |
| CN105591748B (zh) | 一种认证方法和装置 | |
| Sukumara et al. | Cyber security—Securing the protection and control relay communication in substation | |
| JP4720576B2 (ja) | ネットワークセキュリィテイ管理システム、暗号化通信の遠隔監視方法及び通信端末。 | |
| Lu et al. | Study of wireless authentication center with mixed encryption in WSN | |
| KR102118556B1 (ko) | 프라이빗 블록체인 기반 개인정보 관리 서비스 제공 방법 | |
| Kumar et al. | Realization of threats and countermeasure in Semantic Web services | |
| Liu et al. | Building generic scalable middlebox services over encrypted protocols | |
| CN106464684B (zh) | 业务处理方法及装置 | |
| You et al. | Research and design of web single sign-on scheme |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20090603 |