CN202004770U - 一种支持客户端环境可信分析决策技术的安全拨号系统 - Google Patents
一种支持客户端环境可信分析决策技术的安全拨号系统 Download PDFInfo
- Publication number
- CN202004770U CN202004770U CN2011200798846U CN201120079884U CN202004770U CN 202004770 U CN202004770 U CN 202004770U CN 2011200798846 U CN2011200798846 U CN 2011200798846U CN 201120079884 U CN201120079884 U CN 201120079884U CN 202004770 U CN202004770 U CN 202004770U
- Authority
- CN
- China
- Prior art keywords
- module
- dial
- client
- gateway
- safe
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- Telephonic Communication Services (AREA)
Abstract
一种支持客户端环境可信分析决策技术的安全拨号系统,包括拨号客户端模块和拨号网关模块,拨号客户端模块和拨号网关模块的通信信道为PSTN公用电话网络。本实用新型在拨号客户端连接时可根据拨号网关模块制定的安全策略,对客户端主机进行全面的可信分析及接入决策,发现可能存在潜在安全隐患的客户端,并阻止其接入,防止其对内网服务的威胁和攻击。
Description
技术领域
本实用新型涉及一种安全拨号系统,特别涉及一种可对拨号客户端主机环境进行可信分析及安全接入决策,采用数字证书认证及可选用国密局SM1算法进行通信数据加密,并对拨号客户端的网络协议访问、应用协议访问进行安全控制及细粒度安全审计,同时支持声、光、液晶显示实时告警功能的安全拨号系统,属于计算机与网络安全技术领域。
背景技术
对于远程拨号用户实体的身份鉴别认证及访问控制,一般有以下几种典型方式。
第一种是通过拨号服务器提供拨号接入的方式。由管理员建立拨号账户及口令,分配相应访问权限及IP地址,用户接入时采用CHAP或MS-CHAP协议等进行认证。这是目前使用最多也最为普遍的方式,一般利用操作系统(如win2000,winxp系统)本身提供的拨号客户端功能即可实现,其缺点是使用用户名口令方式的验证强度较低,且通信过程均为明文,数据易被窃听及篡改,对用户的访问控制功能较弱。
第二种是通过拨号加VPN方式。客户端先进行拨号,成功后打开VPN客户端软件,进行数字证书认证并和对端的VPN网关建立加密隧道。采用数字证书认证加密,具有一定的安全性,但该方式下的连接及认证过程相对繁琐,不利于管理员统一管理。该方式下对客户端主机环境未进行可信分析,对用户访问内部主机服务的应用层协议报文(如HTTP/TELNET/FTP)没有监听和过滤,也缺乏相应的应用协议访问审计措施。这样,容易造成非法病毒、木马等流入内网,用户的误操作或恶意攻击也会给内网安全造成隐患。该方式下的大多数VPN加密通讯均采用通用的公开加密算法,如DES算法等,数据加密强度及安全性不能得到充分保证。同时大多数系统无实时告警功能或考虑不足。
最后一种是专用安全拨号网关方式,硬件主机上集成了Modem接口及网络接口,软件上集成了拨号接入和VPN接入的功能,对用户进行基于数字证书的拨号接入认证。经检索发现,专利号:200820205700,公开了“一种拨号安全网关装置”,但该专利除克服了第二种方式中拨号和VPN功能分离的缺点外,同样存在其他缺点如无客户端环境可信分析及安全接入决策、未对应用层协议进行访问控制过滤及细粒度安全审计、不支持SM1等专用硬件密码算法,同时无实时告警功能等。
实用新型内容
发明目的:本实用新型针对上述问题,为克服现有技术的不足,提供一种支持客户端环境可信分析与接入决策,集成了安全拨号、智能USBKEY数字证书认证、支持国密局SM1算法加密,并进行网络层、应用层的安全访问控制及细粒度安全审计,同时支持实时告警功能的安全拨号系统。
技术方案: 为实现上述发明目的,本发明采用如下技术方案,以下进行详细阐述。本实用新型主要分为拨号客户端模块和拨号网关模块两大部分。双方的通信信道为PSTN公用电话网络,基于双方系统上的智能USBKEY硬件、PCI加密卡硬件,通过双方的密钥协商模块、数据加解密模块等进行密钥协商,建立双向加密隧道,并对双方通讯的所有数据进行加密,其中对称加密算法由拨号网关安全策略指定,支持SM1/ DES/AES/RC4/RC5/RC6/BLOWFISH/IDEA等对称加密算法加密,业务系统可根据安全等级需求,优先选用SM1算法进行对称数据加密。
拨号客户端模块主要包括包含Modem的拨号PC机、安全拨号软件、支持SM1算法的智能USBKEY等,拨号PC机以电话线连接PSTN网络。支持SM1算法的智能USBKEY对用户进行双因子认证,同时和拨号网关模块进行基于数字证书的双向认证。安全拨号软件包含了拨号客户端的拨号连接、身份认证、密钥协商、数据通信与加密、断开连接、连接配置管理等功能,同时具有客户端主机安全扫描检测与可信分析功能,可对客户端主机进行全面的主机安全可信分析,包括网络服务、系统进程、防火墙、防病毒软件、注册表、重要系统文件等,对可能存在潜在安全隐患的客户端,可阻止其接入,防止其对内网服务器的威胁和攻击。
拨号网关模块主要包括计算机主板及网口、Modem口等外置接口,电源、网口、Modem口状态指示灯等,同时包括支持SM1算法的PCI接口加密卡、双电源冗余备份模块、由扬声器、告警灯、液晶屏所组成的可编程综合告警模块等。其中的PCI接口加密卡支持RSA非对称算法进行密钥协商、SM1对称加密算法进行对称算法加密。双电源冗余备份模块,可实现在某一电源掉电或损坏时进行在线切换。
拨号网关模块可针对不同用户预先制定不同的安全策略,包括客户端接入策略、网络层及应用层访问控制策略等等,并对用户进行严格的安全访问控制,对用户访问的地址、端口、应用协议(HTTP/TELNET/FTP)的命令及参数进行严格的过滤,杜绝非法操作,同时可进行细粒度的日志安全审计。同时在拨号网关模块出现硬件故障、软件模块异常、黑客非法接入、非法用户操作等状况时可利用实时告警模块进行声、光、液晶屏报警,可有效提醒管理员迅速发现风险,并采取有效措施排查问题。同时,拨号网关模块可对拨号客户端的通信状态进行实时监控,包括连接者身份、连接建立的初始时间、上传和下载数据量、加密隧道状态、访问的具体业务系统等,管理员可根据安全管理需要随时中断其通讯连接。
有益效果:
本发明的有益效果在于以下几点:
1、 本实用新型在拨号客户端连接时可根据拨号网关模块制定的安全策略,对客户端主机包括网络服务、系统进程、防火墙、防病毒软件、注册表、重要系统文件等进行全面的可信分析及接入决策,发现可能存在潜在安全隐患的客户端,并阻止其接入,防止其对内网服务的威胁和攻击。
2、 本实用新型利用支持SM1算法的智能USBKEY对用户进行数字证书认证,并可根据业务安全需求进行选择SM1/ DES/AES/RC4/RC5/RC6/BLOWFISH/IDEA等多种加密算法进行通信数据加密,加密方式灵活,可满足安全等级较高业务的安全数据传输需求。
3、本实用新型中的拨号网关模块除可对拨号客户端进行网络层地址、端口的访问控制外,还可进行应用层协议(HTTP/TELNET/FTP)的安全过滤、分析,防止用户执行非法命令及参数,并可进行网络层、应用层协议的全方位安全审计,便于管理员的安全管理。
4、本实用新型中的拨号网关模块在系统出现硬件故障、软件模块异常、黑客非法接入、非法用户操作等状况时可利用实时告警模块进行声、光、液晶屏报警,可有效提醒管理员迅速发现风险,并采取有效措施排查问题。
5、本实用新型中的拨号网关模块,采用双电源冗余设计,可实现在某一电源掉电或损坏时进行在线切换,可进一步增强该系统的稳定性、可靠性。
附图说明
下面将结合附图及实施例对本实用新型作进一步说明,附图中:
图1是是本安全拨号系统的结构示意图。
具体实施方式
本实用新型提供了一种新的安全拨号系统,其核心思想是:根据拨号网关模块的安全策略及接入标准定义,对客户端主机环境包括网络服务、系统进程、防火墙、防病毒软件、注册表、重要系统文件等进行全面的安全检测和可信分析,拒绝具有潜在安全隐患的客户端接入。对客户端进行基于数字证书的强身份认证,根据业务数据安全需求,灵活选用各种加密算法包括安全性较高的国密局SM1算法在客户端和拨号网关间建立安全加密隧道。同时,对拨号客户端进行网络层协议的地址、端口的访问控制及安全过滤;进行应用层协议包括HTTP/TELNET/FTP 协议的命令和参数的安全过滤和细粒度的安全审计,并可在系统出现硬件故障、软件模块异常、黑客非法接入、非法用户操作等状况时,通过安全拨号网关上的告警模块进行声、光、液晶屏显示等综合告警,并通过可在线切换的双电源冗余设计,进一步增强了该系统的稳定性、可靠性。
一.硬件设计
本安全拨号系统主要由安全拨号客户端模块和安全拨号网关模块组成。
拨号客户端模块包括拨号客户端PC、通过USB接口连接的外置支持SM1算法智能USBKEY,以及电话线接口以进行电话拨号。
拨号网关模块包括计算机系统主板、CPU单元、内存、存储器、硬件看门狗、支持SM1硬件加密卡、网络接口模块、Modem接口模块、双电源模块、电源及网络状态指示灯、Modem状态指示灯、实时告警模块,其中实时告警模块包含告警扬声器、告警灯、显示液晶屏三部分组成,在系统出现硬件故障、软件模块异常、黑客非法接入、非法用户操作等状况时,可通过安全拨号网关上的告警模块进行声、光、液晶屏显示等综合告警。其中支持SM1硬件加密卡为PCI接口方式,支持SM1/DES/AES/RC4/RC5/RC6/BLOWFISH/IDEA等对称算法加密。双电源模块支持双电源冗余备份及实时在线切换功能,可实现在某一电源掉电或损坏时实现在线切换,不影响拨号网关系统的正常运行。
二.系统软件体系结构设计
系统包括拨号客户端系统模块和拨号网关系统模块。
拨号客户端系统模块包括PPP拨号客户端模块、VPN客户端模块、客户端可信分析模块、密钥协商模块、客户端数据加密模块、客户端身份模块组成。
拨号网关系统模块包括PPP服务器模块、VPN服务端总控模块、接入决策模块、密钥协商模块、服务端数据加密模块、角色认证模块、网络层访控模块、应用层访控模块、安全审计模块、安全策略数据库,提供对内网资源的安全数据访问。
其中,PPP拨号客户端模块用于和PPP服务器模块建立初始的拨号通信连接。VPN客户端模块用于和VPN服务端总控模块进行双方数字证书认证,并调用各自的密钥协商模块、网关密钥协商模块进行密钥协商与会话,根据拨号网关侧预先的安全策略定义选择相应的对称密码算法,如SM1/DES/AES/RC4/RC5/RC6/BLOWFISH/IDEA等,协商出共用的对称密钥后客户端数据加解密模块、服务端数据加解密模块利用该密钥用于后续的通信数据加解密过程。
客户端身份模块主要依靠智能卡提供的双因子认证机制,对客户端进行强身份认证,同时由拨号网关侧的角色认证模块查询安全策略数据库,对其进行角色认证与权限分配。客户端可信分析模块根据安全拨号网关模块制定的安全策略对客户端主机环境进行全面的安全扫描检测及可信分析,并传输相应结果给服务端的接入决策模块供其进行相应的仲裁决策,允许或拒绝其接入。
拨号网关侧的网络层访控模块主要用于对客户端网络层访问控制,只允许其访问指定的内网IP地址及端口资源。应用层访控模块根据网络层访控模块制定的资源规则,根据用户的安全需求,对特定的应用协议(HTTP/TELNET/FTP)进行命令及参数的过滤,防止用户执行非法指令。
安全审计模块用于对用户访问行为包括应用层协议访问的命令、参数进行详细的日志记录及审计,以便于管理员进行系统管理。
三.工作流程
拨号客户端预先安装安全拨号软件、智能USBKEY驱动软件等。
步骤1:拨号客户端和拨号网关向PKI/CA系统申请数字证书,同时进行证书相关初始配置,包括配置正确的CA证书链和CRL 黑名单列表,以进行后续证书双向验证。
步骤2:拨号网关配置对应终端的安全接入策略,包括加密算法设定、主机安全状态定义、网络层访问控制策略、应用层协议(HTTP/TELNET/FTP)过滤策略等等。
步骤3:拨号客户端插入支持SM1算法的智能USBKEY,同时打开安全拨号软件和拨号网关进行初始拨号连接认证。
步骤4:拨号客户端和拨号网关开始建立初始加密连接通讯,用户使用智能USBKEY通过PIN码验证身份,三次PIN码错误将锁死USBKEY,必须提交管理员申请解锁方能继续使用。
步骤5:PIN码成功验证后,拨号客户端开始和拨号网关建立密钥协商过程,拨号网关根据安全策略定义,选择SM1/DES等对称加密算法准备进行后续数据加解密操作。
步骤6:拨号客户端可信分析模块和拨号网关的服务端接入决策模块通过加密隧道进行策略通讯,服务端接入决策模块查询安全策略数据库,同时取得该用户的详细安全策略定义并传输给拨号客户端可信分析模块。
步骤7:拨号客户端依据安全策略定义对主机系统进行定时可信分析(一般定时周期为30-60s,也由拨号网关安全策略设定),主要包括网络服务、系统进程、防火墙、防病毒软件、注册表、重要系统文件状态等等,并及时判断客户端主机系统当前的“健康状态”,同时传递给拨号网关进行接入仲裁。
步骤8:拨号网关根据策略定义,综合判断客户端的安全状态并进行接入决策,允许或拒绝其接入,并给出相应提示。如允许接入,则拨号网关从安全策略数据库中实时加载对应用户的访问控制策略,建立网络层及应用层协议报文的过滤规则。
步骤9:拨号客户端进行内网服务资源访问,拨号网关对其实时链路通讯状态进行监控,根据安全管理需求可随时中断客户端通讯连接。
步骤10:拨号网关根据安全策略对客户端进行访问控制,对报文的协议、端口、地址进行过滤并阻止畸形、碎片攻击及其他非法报文通过,并进行应用层协议命令、参数的综合过滤。在此过程中,可对用户所有操作进行日志记录审计,包括应用协议(HTTP/TELNET/FTP)命令及参数的操作日志等。当用户出现非法操作、系统软硬件运行异常时,拨号网关通过实时告警模块进行声、光、液晶显示实时告警,以通知管理员及时处理。
Claims (5)
1.一种支持客户端环境可信分析决策技术的安全拨号系统,其特征在于,包括拨号客户端模块和拨号网关模块,拨号客户端模块和拨号网关模块的通信信道为PSTN公用电话网络。
2.根据权利要求1所述的一种支持客户端环境可信分析决策技术的安全拨号系统,其特征在于,基于客户端模块和拨号网关模块上的智能USBKEY硬件、PCI加密卡硬件,通过双方的密钥协商模块、数据加解密模块等进行密钥协商,建立双向加密隧道,并对双方通讯的所有数据进行加密。
3.根据权利要求1所述的一种支持客户端环境可信分析决策技术的安全拨号系统,其特征在于,拨号客户端模块包括拨号客户端PC、通过USB接口连接的外置支持SM1算法智能USBKEY,以及电话线接口;拨号网关模块包括计算机系统主板、CPU单元、内存、存储器、硬件看门狗、支持SM1硬件加密卡、网络接口模块、Modem接口模块、双电源模块、电源及网络状态指示灯、Modem状态指示灯、实时告警模块。
4.根据权利要求3所述的一种支持客户端环境可信分析决策技术的安全拨号系统,其特征在于,其中支持SM1硬件加密卡为PCI接口方式。
5.根据权利要求3所述的一种支持客户端环境可信分析决策技术的安全拨号系统,其特征在于,其中实时告警模块包含告警扬声器、告警灯、显示液晶屏三部分组成。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011200798846U CN202004770U (zh) | 2011-03-24 | 2011-03-24 | 一种支持客户端环境可信分析决策技术的安全拨号系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011200798846U CN202004770U (zh) | 2011-03-24 | 2011-03-24 | 一种支持客户端环境可信分析决策技术的安全拨号系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN202004770U true CN202004770U (zh) | 2011-10-05 |
Family
ID=44707494
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011200798846U Expired - Lifetime CN202004770U (zh) | 2011-03-24 | 2011-03-24 | 一种支持客户端环境可信分析决策技术的安全拨号系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN202004770U (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297426A (zh) * | 2013-05-15 | 2013-09-11 | 江苏奇异点网络有限公司 | 一种公安移动终端接入内网的方法 |
| CN104540137A (zh) * | 2014-12-26 | 2015-04-22 | 山石网科通信技术有限公司 | 网关控制设备、方法和系统 |
| CN115314302A (zh) * | 2022-08-10 | 2022-11-08 | 重庆电子工程职业学院 | 一种基于网络安全网格的通信方法和装置 |
-
2011
- 2011-03-24 CN CN2011200798846U patent/CN202004770U/zh not_active Expired - Lifetime
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103297426A (zh) * | 2013-05-15 | 2013-09-11 | 江苏奇异点网络有限公司 | 一种公安移动终端接入内网的方法 |
| CN104540137A (zh) * | 2014-12-26 | 2015-04-22 | 山石网科通信技术有限公司 | 网关控制设备、方法和系统 |
| CN104540137B (zh) * | 2014-12-26 | 2019-03-15 | 山石网科通信技术有限公司 | 网关控制设备、方法和系统 |
| CN115314302A (zh) * | 2022-08-10 | 2022-11-08 | 重庆电子工程职业学院 | 一种基于网络安全网格的通信方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9547771B2 (en) | Policy enforcement with associated data | |
| EP2830282B1 (en) | Storage method, system and apparatus | |
| CN102448061B (zh) | 一种基于移动终端防钓鱼攻击的方法和系统 | |
| US9219709B2 (en) | Multi-wrapped virtual private network | |
| US20130332724A1 (en) | User-Space Enabled Virtual Private Network | |
| Wickramasinghe et al. | A wireless trust model for healthcare | |
| CN105162808B (zh) | 一种基于国密算法的安全登录方法 | |
| US10467422B1 (en) | Automatic key rotation | |
| CN102111349A (zh) | 安全认证网关 | |
| CN102546601A (zh) | 云计算终端接入虚拟机的辅助装置 | |
| CN103326999A (zh) | 一种基于云服务的文件安全管理系统 | |
| CN104113839A (zh) | 基于sdn的移动数据安全保护系统及方法 | |
| CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
| CN103973715B (zh) | 一种云计算安全系统和方法 | |
| CN102170424A (zh) | 基于三级安全体系架构的移动介质安全防护系统 | |
| CN105119894A (zh) | 基于硬件安全模块的通信系统及通信方法 | |
| CN111277607A (zh) | 通信隧道模块、应用监控模块及移动终端安全接入系统 | |
| CN100559820C (zh) | 一种拨号安全网关装置 | |
| CN101369995A (zh) | 一种基于安全可信连接技术的拨号网关 | |
| CN202004770U (zh) | 一种支持客户端环境可信分析决策技术的安全拨号系统 | |
| CN102333098A (zh) | 一种安全私有云系统的实现方法 | |
| CN102333068A (zh) | 一种基于ssh、sftp隧道智能管控系统及方法 | |
| CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| CN101533504A (zh) | 电子医务系统及其装置 | |
| CN102761559B (zh) | 基于私密数据的网络安全共享方法及通信终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term | ||
| CX01 | Expiry of patent term |
Granted publication date: 20111005 |