CN201846357U - 非现场行业安全网络构架 - Google Patents
非现场行业安全网络构架 Download PDFInfo
- Publication number
- CN201846357U CN201846357U CN201020281179XU CN201020281179U CN201846357U CN 201846357 U CN201846357 U CN 201846357U CN 201020281179X U CN201020281179X U CN 201020281179XU CN 201020281179 U CN201020281179 U CN 201020281179U CN 201846357 U CN201846357 U CN 201846357U
- Authority
- CN
- China
- Prior art keywords
- network
- user terminal
- authentication module
- enterprise
- access authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Abstract
本实用新型公开了非现场行业安全网络构架,包括骨干网、企业后台服务端、用户终端、位于骨干网内的网络接入认证模块、应用网络服务器,网络接入认证模块与应用网络服务器之间建立第二层隧道协议实现专业网与公众网的传输隔离;应用网络服务器通过虚拟专用网与企业后台服务端的企业内网互联;企业后台服务端设置远程拨号认证系统用于判断用户终端的用户是否有接入企业内网的权限;用户终端内设有用于存储专业网信息的第一存贮单元以及用于存储公众网信息的第二存贮单元,其中第一存贮单元接入骨干网的网络接入认证模块,实现专业网络运行与公众网络运行的物理隔离。
Description
技术领域
本实用新型属于网络安全技术领域,尤其是为涉密、金融、大额电子交易等非现场行业的移动交易、移动支付、非常现场办公等提供专业信息保护的网络安全构架。
背景技术
网络安全从其本质上来讲就是网络上的信息安全,经过多年的应用与发展以及人们对网络软硬件技术认识的深入,网络安全已超过对网络可靠性、交换能力和服务质量的要求,成为企业及个人用户在在线交易、支付等过程中最为关心的问题。但目前在涉密行业,特别是金融服务领域,个人终端用户往往是以电脑及手持终端通过公网接入到后台服务系统,其连接过程缺乏相应的网络保护机制,专业应用信息与公众应用信息走在同一条通道中,使得当出现公网网络端口故障时,专业应用也无法接入;同时,专业应用信息和公众网络信息无法隔离,目前的金融证券应用又缺乏健全的数字加密和身份认证机制,因此个人用户的个人信息及交易信息的安全性也无法得到保障。
从用户(个人、企业)的角度出发,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。而从网络运行和管理者角度出发,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
涉密、金融等非现场行业其未来的发展方向必然是需要建立一个与公网隔离的更加注重网络安全性及可靠性的专业性金融绿网,从而实现基于安全专网和无线通信(3G)技术的非现场行业应用。
发明内容
本实用新型所要解决的问题就是针对现有涉密、金融等非现场行业在网络通信过程中缺乏相应网络保护机制的缺点,同时克服点对点的独家性的局域网缺点,建立一个安全的共用性专网,提供一种非现场行业安全网络构架,通过定制的专业终端和健全的后台认证机制来建立较高安全级别的身份认证体系,在身份识别的基础上建立VIP客户服务智能维护管理系统。
为解决上述技术问题,本实用新型采用如下技术方案:非现场行业安全网络构架,包括骨干网、企业后台服务端、用户终端,其特征在于:还包括位于骨干网内的网络接入认证模块、提供给用户的应用网络服务器,所述网络接入认证模块与应用网络服务器之间建立第二层隧道协议实现专业网与公众网的传输隔离;所述应用网络服务器通过虚拟专用网与企业后台服务端的企业内网互联;所述企业后台服务端设置远程拨号认证系统用于判断用户终端的用户是否有接入企业内网的权限;所述用户终端内设有用于存储专业网信息的第一存贮单元以及用于存储公众网信息的第二存贮单元,其中第一存贮单元接入骨干网的网络接入认证模块,实现专业网络运行与公众网络运行的物理隔离。
进一步的,所述用户终端的第一存贮单元通过虚拟专用拨号网接入骨干网的网络接入认证模块,网络接入认证模块内设置分组业务数据节点实现用户到骨干网内AAA服务器的认证、授权、计费。
进一步的,所述应用网络服务器内设有与企业后台服务端一一对应的虚拟路由器,虚拟路由器内设有两个IP地址池,通过骨干网内服务商边缘路由器的访问控制列表使其中一IP地址池只能访问其所在虚拟路由器对应的企业后台服务端,另一IP地址池可以访问所用企业后台服务端。
进一步的,所述应用网络服务器中不同的虚拟路由器具有不同的认证服务器地址。
进一步的,所述应用网络服务器根据远程拨号认证系统反馈的判断结果来执行后续操作。
进一步的,所述第一存贮单元内设有管理专业应用信息的第一操作系统,第二存贮单元内设有管理公众应用信息的第二操作系统。
进一步的,所述第一操作系统只与安全专网建立连接,所述第二操作系统只与公网建立连接。
进一步的,所述用户终端分配有唯一的认证帐号与密码,该认证帐号与企业后台服务端构成数字化的身份认证系统,所述企业后台服务端根据用户身份信息开通设置对应的接入权限及操作权限。
进一步的,所述用户终端还设有专网必须的外接式的移动数字证书用于数字加密。用户的个人信息和交易信息在传输过程中得到安全防护,只有经过授权的服务进程才能够通过解密获取用户的这些重要信息。
进一步的,所述用户终端还设有非接触式的自动识别系统。该系统的ID号与用户终端号码、身份、移动支付帐户绑定,能够实现用户在移动支付、现场身份识别的应用。
本实用新型的有益效果:通过上述方案,本实用新型实现了专业应用信息与公众应用信息的传输隔离以及在应用层、存储空间上的物理隔离,这使得用户的专业应用操作及其专业应用信息可以独立地接入企业后台服务端,为用户个人信息及交易信息的安全性提供最为基本的保障;用户终端则分配了唯一的认证帐号与密码,该认证帐号与企业后台服务端构成数字化的身份认证系统,用户自建的应用网络服务器与企业后台服务端构成完全的认证机制,以便建立高级别的身份认证系统;用户终端还采用了外接式的移动数字证书用于数字加密,只有授权方才能获得密钥,进行解码和信息获取,实现了交易系统密钥与用户终端设备的物理分离,真正的软件加密和硬件加密同步进行,为用户在涉密、金融等非现场行业的移动交易、移动支付提供最为完整、真实的专业信息保护。
附图说明
下面结合附图对本实用新型作进一步的说明:
图1为本实用新型的网络构架示意图。
具体实施方式
如图1所示,本实用新型非现场行业安全网络构架的一个实施例:
网络侧的解决方案如下:包括骨干网4、企业后台服务端、用户终端1、位于骨干网4内的网络接入认证模块2以及提供给用户的应用网络服务器(LNS)3,所述网络接入认证模块2与应用网络服务器(LNS)3之间建立第二层隧道协议(L2TP)实现专业网与公众网的传输隔离;所述应用网络服务器(LNS)3通过虚拟专用网(VPN)与企业后台服务端的企业内网互联;所述企业后台服务端设置远程拨号认证系统(RADIUS)用于判断用户终端的用户是否有接入企业内网的权限;其中的企业后台服务端包括了A证券公司后台服务端5、B证券公司后台服务端6,当然也可以包括其他金融领域的企业,譬如银行、电子商务、政务等,不同的证券公司采用域名也不相同;用户终端1可以是台式机、笔记本电脑、手持通讯设备,用户终端1还可以是其它具备有网络接入功能的网络设备。
用户终端首先需要通过虚拟专用拨号网(VPDN)接入骨干网4的网络接入认证模块2,这里的骨干网4采用了CN2(Chinatelecom Next Carrier Network,中国电信下一代承载网络),也可以采用其他供应商所拥有的它们自己的骨干网4;网络接入认证模块2内设置分组业务数据节点(PDSN)实现用户到骨干网4内AAA服务器的认证、授权、计费。在应用网络服务器(LNS)3内设有与A证券公司后台服务端5、B证券公司后台服务端6一一对应的虚拟路由器(VR),每个虚拟路由器(VR)内设有两个IP地址池,其中一IP地址池只能访问其所在虚拟路由器(VR)对应的企业后台服务端,另一IP地址池则可以访问所用企业后台服务端,这个功能通过骨干网4内服务商边缘路由器(PE)的访问控制列表(ACL)来实现;同时,在用户自建的应用网络服务器(LNS)3中不同的虚拟路由器(VR)具有不同的RADIUS认证服务器地址,应用网络服务器(LNS)3根据远程拨号认证系统(RADIUS)返还的判断结果来执行后续操作。
上述的种种功能可以通过以下一个具体的拨号认证过程来解释说明:
1、证券公司A的用户通过虚拟专用拨号网(VPDN)接入CN2骨干网4的网络接入认证模块2,用户输入帐号及密码,PDSN根据用户域名建立网络接入认证模块2到应用网络服务器(LNS)3之间的(L2TP)隧道;
2、应用网络服务器(LNS)3根据用户域名将用户的帐号及密码传送至证券公司A的远程拨号认证系统(RADIUS),(RADIUS)根据用户信息将判断结果以及IP地址池属性反馈给应用网络服务器(LNS)3;
3、应用网络服务器(LNS)3根据(RADIUS)的判断结果完成以下情况的操作:
a)认证不通过:通知PDSN拆线,用户拨号失败;
b)认证通过:建立连接并根据(RADIUS)判断结果内的地址池属性分配用户的IP地址。
通过上述拨号认证过程可以看出,用户账号的认证工作其实是由用户自行完成。
终端侧的解决方案如下:
在用户终端1内设置了用于存储专业网信息的第一存贮单元12以及用于存储公众网信息的第二存贮单元13,第一存贮单元12内设有管理专业应用信息的第一操作系统,第二存贮单元13内设有管理公众应用信息的第二操作系统;第一操作系统只与企业专网建立连接,而第二操作系统只与公网建立连接。专业应用和普通公众应用采用两个操作系统,两种应用信息、操作系统及程序存储在两个不同的物理硬盘上,进程也驻留来不同的内存中,同时要求用于专业应用的操作系统只能建立专网连接,而用于公众应用的操作系统只能建立公网连接,实现了专业应用信息和公众应用信息的完全物理隔离。
用户终端1分配唯一的认证帐号和密码,帐号与用户身份相挂钩,建立数字化的身份认证系统,并根据客户属性和业务开通情况设置对应的接入权限和操作权限。
用户终端1还设有外接式的移动数字证书11用于数字加密。用户的个人信息和交易信息在传输过程中得到安全防护,只有经过授权的服务进程才能够通过解密获取用户的这些重要信息,并采用密钥统一发起专网连接。外接式移动数字证书11实现了交易系统密钥与智能终端的物理分离,真正的软件加密和硬件加密同步,而在传统的PC机上难以兼容这两种加密方式,往往是一台PC机可以对应不同的密钥,或者一个密钥可以在不同的PC机上使用,硬件不是唯一匹配的,而采用外接式移动数字证书11使得用户在涉密、金融等非现场行业的移动交易、移动支付的安全性大大提高。
此外,用户终端1还具备了非接触式的自动识别系统,该系统的ID号与用户终端1号码、身份、移动支付帐户绑定,能够实现用户在移动支付、现场身份识别的应用。通过上述定制的用户终端1和健全的企业后台认证机制来建立较高安全级别的身份认证体系,且在身份识别的基础上建立VIP客户服务智能维护管理系统,将网络安全性等也作为一种差异化服务内容纳入到服务体系当中,进一步提升中国电信差异化的竞争力。
在上述实施例中所提及的“第一”、“第二”及其类似术语只是用于区别同类型的两个部件,而不是用于描述序列或者时间顺序。本领域技术人员可以根据本实用新型作出各种改变和变形,只要不脱离本实用新型的精神,均应属于本实用新型所附权利要求所定义的范围。
Claims (4)
1.非现场行业安全网络构架,包括骨干网(4)、企业后台服务端、用户终端(1),其特征在于:还包括位于骨干网(4)内的网络接入认证模块(2)、提供给用户的应用网络服务器(3),所述网络接入认证模块(2)与应用网络服务器(3)之间建立第二层隧道协议实现专业网与公众网的传输隔离;所述应用网络服务器(3)通过虚拟专用网与企业后台服务端的企业内网互联;所述企业后台服务端设置远程拨号认证系统用于判断用户终端(1)的用户是否有接入企业内网的权限;所述用户终端(1)内设有用于存储专业网信息的第一存贮单元(12)以及用于存储公众网信息的第二存贮单元(13),其中第一存贮单元(12)接入骨干网(4)的网络接入认证模块(2),实现专业网络运行与公众网络运行的物理隔离。
2.根据权利要求1所述的非现场行业安全网络构架,其特征在于:所述用户终端(1)的第一存贮单元(12)通过虚拟专用拨号网接入骨干网(4)的网络接入认证模块(2),网络接入认证模块(2)内设置分组业务数据节点实现用户到骨干网(4)内AAA服务器的认证、授权、计费。
3.根据权利要求1所述的非现场行业安全网络构架,其特征在于:所述用户终端(1)还设有外接式的移动数字证书用于数字加密。
4.根据权利要求1所述的非现场行业安全网络构架,其特征在于:所述用户终端(1)还设有非接触式的自动识别系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201020281179XU CN201846357U (zh) | 2010-07-30 | 2010-07-30 | 非现场行业安全网络构架 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201020281179XU CN201846357U (zh) | 2010-07-30 | 2010-07-30 | 非现场行业安全网络构架 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN201846357U true CN201846357U (zh) | 2011-05-25 |
Family
ID=44041231
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201020281179XU Expired - Fee Related CN201846357U (zh) | 2010-07-30 | 2010-07-30 | 非现场行业安全网络构架 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN201846357U (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102355457A (zh) * | 2011-09-06 | 2012-02-15 | 深圳市络道科技有限公司 | 一种字符终端应用系统及其应用的调用方法 |
CN103619020A (zh) * | 2013-12-09 | 2014-03-05 | 成都达信通通讯设备有限公司 | 无线数据专网物理隔离互联网的移动支付安全系统 |
CN104168292A (zh) * | 2014-09-01 | 2014-11-26 | 宇龙计算机通信科技(深圳)有限公司 | 动态指令处理方法、动态指令处理装置和终端 |
CN109391912A (zh) * | 2017-08-03 | 2019-02-26 | 中创通信技术(深圳)有限公司 | 一种专用网络和公用网络融合系统 |
-
2010
- 2010-07-30 CN CN201020281179XU patent/CN201846357U/zh not_active Expired - Fee Related
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102355457A (zh) * | 2011-09-06 | 2012-02-15 | 深圳市络道科技有限公司 | 一种字符终端应用系统及其应用的调用方法 |
CN102355457B (zh) * | 2011-09-06 | 2014-12-10 | 深圳市络道科技有限公司 | 一种字符终端应用系统及其应用的调用方法 |
CN103619020A (zh) * | 2013-12-09 | 2014-03-05 | 成都达信通通讯设备有限公司 | 无线数据专网物理隔离互联网的移动支付安全系统 |
WO2015085809A1 (zh) * | 2013-12-09 | 2015-06-18 | 成都达信通通讯设备有限公司 | 无线数据专网物理隔离互联网的移动支付安全系统 |
CN103619020B (zh) * | 2013-12-09 | 2017-02-08 | 成都达信通通讯设备有限公司 | 无线数据专网物理隔离互联网的移动支付安全系统 |
CN104168292A (zh) * | 2014-09-01 | 2014-11-26 | 宇龙计算机通信科技(深圳)有限公司 | 动态指令处理方法、动态指令处理装置和终端 |
CN109391912A (zh) * | 2017-08-03 | 2019-02-26 | 中创通信技术(深圳)有限公司 | 一种专用网络和公用网络融合系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
US8737624B2 (en) | Secure email communication system | |
CN101094056B (zh) | 无线工业控制网络安全系统及安全策略实现方法 | |
CN100518411C (zh) | 一种基于移动通信终端的动态密码系统及方法 | |
Panda et al. | A blockchain based decentralized authentication framework for resource constrained iot devices | |
CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
CN101043335A (zh) | 一种信息安全控制系统 | |
CN109687965A (zh) | 一种保护网络中用户身份信息的实名认证方法 | |
CN102271134A (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
CN1925401B (zh) | 互联网接入系统及接入方法 | |
CN100576793C (zh) | 借助安全认证网关的企业网安全接入方法 | |
CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
CN111935213A (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
CN201846357U (zh) | 非现场行业安全网络构架 | |
CN104219077A (zh) | 一种中小企业信息管理系统 | |
CN105471901A (zh) | 一种工业信息安全认证系统 | |
CN105991642A (zh) | 利用公有云端网络的方法、私有云端路由服务器及智能装置客户端 | |
Hasan et al. | Towards a threat model and security analysis of video conferencing systems | |
CN110602083A (zh) | 一种数字身份认证数据的安全传输与存储方法 | |
CN201252570Y (zh) | 一种安全网关客户端装置 | |
CN104618306A (zh) | 新型一体化手机数据传输密钥信号进行加密方法 | |
Purchina et al. | Securing an Information System via the SSL Protocol. | |
Nosrati et al. | Security assessment of mobile-banking | |
CN101827079A (zh) | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 | |
CN100440190C (zh) | 代理模式安全远程接入方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C17 | Cessation of patent right | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110525 Termination date: 20120730 |