專利名稱：：一種安全網(wǎng)關(guān)客戶端裝置的制作方法
技術(shù)領(lǐng)域：
：本實(shí)用新型涉及一種客戶端裝置，特別涉及一種適用于計(jì)算機(jī)信息安全領(lǐng)域的安全網(wǎng)關(guān)客戶端裝置。
背景技術(shù)：
：隨著網(wǎng)絡(luò)的快速發(fā)展，跨網(wǎng)絡(luò)的應(yīng)用訪問已經(jīng)成為一種趨勢(shì)，而保障在跨網(wǎng)絡(luò)過程中的數(shù)據(jù)安全性，成為跨網(wǎng)絡(luò)應(yīng)用訪問面臨的一個(gè)重要問題。然而，傳統(tǒng)的設(shè)置在網(wǎng)絡(luò)中的網(wǎng)關(guān)，其網(wǎng)關(guān)用戶可以通過探測(cè)、偵聽等手端獲取目標(biāo)資料的地址，造成安全的隱患，同時(shí)也給用戶帶來了不便，無(wú)法保證跨網(wǎng)絡(luò)信息傳輸?shù)陌踩⒈Ｃ芎屯暾?，?shí)現(xiàn)網(wǎng)關(guān)客戶端與服務(wù)器之間身份的有效認(rèn)證、授權(quán)和數(shù)據(jù)傳輸安全。因此，特別需要一種安全網(wǎng)關(guān)客戶端裝置，保證跨網(wǎng)絡(luò)信息傳輸?shù)陌踩?、保密和完整，?shí)現(xiàn)網(wǎng)關(guān)客戶端與服務(wù)器之間身份的有效認(rèn)證、授權(quán)和數(shù)據(jù)傳輸安全。
實(shí)用新型內(nèi)容本實(shí)用新型所要解決的技術(shù)問題在于提供一種安全網(wǎng)關(guān)客戶端裝置，彌補(bǔ)現(xiàn)有網(wǎng)關(guān)的不足，保證用戶的安全登錄及數(shù)據(jù)的安全性，實(shí)現(xiàn)資源整合、信息安全共享，保證各類網(wǎng)絡(luò)業(yè)務(wù)的順利開展。本實(shí)用新型所要解決的技術(shù)問題可以通過以下技術(shù)方案來實(shí)現(xiàn)-一種安全網(wǎng)關(guān)客戶端裝置，其特征在于，它包括對(duì)訪問請(qǐng)求進(jìn)行身份認(rèn)證的認(rèn)證模塊、用于注冊(cè)安全網(wǎng)關(guān)客戶端裝置的硬件信息并讀取或存儲(chǔ)相關(guān)配置的注冊(cè)配置模塊、用于實(shí)現(xiàn)數(shù)據(jù)的間接傳輸并避免遭到攻擊的代理模塊及用于提供加密算法支持并在用戶訪問和數(shù)據(jù)傳輸時(shí)對(duì)數(shù)據(jù)或消息進(jìn)行加密傳輸?shù)拿艽a模塊組成。所述代理模塊包括重定向模塊和代理訪問模塊。所述密碼模塊包括用于提供加密算法支持的密碼服務(wù)模塊和在用戶訪問和數(shù)據(jù)傳輸時(shí)請(qǐng)求所述密碼服務(wù)模塊提供相應(yīng)加密算法對(duì)數(shù)據(jù)或消息進(jìn)行加密傳輸?shù)拿艽a加密連接模塊。本實(shí)用新型的安全網(wǎng)關(guān)客戶端裝置，采用重定向和代理訪問相結(jié)合的訪問方法，首先檢測(cè)用戶訪問行為，根據(jù)用戶行為，將用戶訪問重定向到客戶端，客戶端采用代理的方法訪問網(wǎng)關(guān)服務(wù)器，網(wǎng)關(guān)服務(wù)器再去連接應(yīng)用服務(wù)器，使用戶可以自由訪問網(wǎng)關(guān)保護(hù)的多個(gè)應(yīng)用系統(tǒng)，保證了訪問的安全，實(shí)現(xiàn)本實(shí)用新型的目的。圖1為本實(shí)用新型的安全網(wǎng)關(guān)客戶端裝置的系統(tǒng)框圖；圖2為本實(shí)用新型的安全網(wǎng)關(guān)客戶端裝置的邏輯框圖。具體實(shí)施方法為了使本實(shí)用新型實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，下面結(jié)合具體圖示，進(jìn)一步闡述本實(shí)用新型。如圖1所示，一種安全網(wǎng)關(guān)客戶端裝置，它包括認(rèn)證模塊1、注冊(cè)配置模塊2、代理模塊3及密碼模塊組成，所述密碼模塊包括密碼服務(wù)模塊41和加密連接模塊42。注冊(cè)配置模塊2對(duì)所述安全網(wǎng)關(guān)客戶端裝置進(jìn)行信息注冊(cè)，配置代理模塊3的代理方式、加密連接模塊42的聯(lián)機(jī)方式以及密碼服務(wù)模塊41的密碼使用條件、服務(wù)種類、選擇密碼算法等。當(dāng)用戶要通過所述安全網(wǎng)關(guān)客戶端裝置訪問內(nèi)部應(yīng)用時(shí)，首先必須通過所述安全網(wǎng)關(guān)客戶端裝置的認(rèn)證模塊1進(jìn)行認(rèn)證，通過認(rèn)證的用戶才能進(jìn)行后續(xù)的相關(guān)操作。認(rèn)證模塊1采取終端認(rèn)證加用戶認(rèn)證的綜合認(rèn)證模式；在注冊(cè)配置模塊2對(duì)所述安全網(wǎng)關(guān)客戶端裝置進(jìn)行信息注冊(cè)時(shí)，所述安全網(wǎng)關(guān)客戶端裝置在線時(shí)通過認(rèn)證模塊1進(jìn)行終端認(rèn)證。所述安全網(wǎng)關(guān)客戶端裝置可以通過認(rèn)證模塊1對(duì)安全認(rèn)證服務(wù)的認(rèn)證方式以及是否向應(yīng)用傳遞等進(jìn)行控制來滿足用戶的不同實(shí)際需要，選擇安全認(rèn)證服務(wù)的認(rèn)證模式，有以下幾種模式1、不驗(yàn)證，表示使用單向認(rèn)證模式，用戶不需要提交證書就可以與服務(wù)端建立連接；2、可選驗(yàn)證，表示使用單雙向的可選認(rèn)證模式，用戶既可以提交證書也可以不提交證書都可以與服務(wù)端建立連接；用戶提交的證書也必須是在安全認(rèn)證服務(wù)配置的信任證書鏈中；3、強(qiáng)制驗(yàn)證，表示使用雙向認(rèn)證模式，用戶必須提交有效證書才能與服務(wù)端建立連接，但安全認(rèn)證服務(wù)只驗(yàn)證用戶是否在信任鏈內(nèi)，并不驗(yàn)證黑名單；此項(xiàng)時(shí)安全認(rèn)證服務(wù)在證書配置中必須選擇相應(yīng)證書鏈才能完成雙向認(rèn)證功能。在認(rèn)證模塊l進(jìn)行用戶認(rèn)證時(shí)采用黑名單方式，用戶提交身份證書，如果是不驗(yàn)證方式，則直接進(jìn)行訪問，如果是可選驗(yàn)證或強(qiáng)制性驗(yàn)證則使用客戶端調(diào)用黑名單列表進(jìn)行比對(duì)，通過驗(yàn)證的用戶則可以訪問系統(tǒng)，否則拒絕訪問。所述密碼模塊分成密碼服務(wù)模塊41和加密連接模塊42兩種方式，密碼服務(wù)模塊41提供多種加密算法支持，通過注冊(cè)配置模塊2對(duì)密碼服務(wù)模塊41的密碼算法如通用算法、國(guó)密指定算法等進(jìn)行分配或指定。當(dāng)用戶訪問和數(shù)據(jù)傳輸時(shí)候，加密連接模塊42向密碼服務(wù)模塊41請(qǐng)求對(duì)應(yīng)的密碼算法服務(wù)，對(duì)數(shù)據(jù)或消息進(jìn)行加密傳輸，采用SSL握手階段協(xié)商產(chǎn)生密鑰對(duì)應(yīng)用數(shù)據(jù)和IP數(shù)據(jù)包加密。如圖2所示，代理模塊3包括重定向模塊31和代理訪問模塊32，重定向模塊31被加載到每個(gè)進(jìn)程的運(yùn)行空間中，當(dāng)檢測(cè)到應(yīng)用客戶端發(fā)往應(yīng)用服務(wù)器的TCP連接之后進(jìn)行判斷，重定向模塊31將修改該TCP連接的目的地址和端口為所述安全網(wǎng)關(guān)客戶端裝置的本地服務(wù)監(jiān)聽端口(通常為127.0.0.1:9986),同時(shí)保存下該TCP連接原來要連接的目的地址和端口。當(dāng)和本地安全網(wǎng)關(guān)客戶端服務(wù)連接成功之后，重定向模塊31立即將該TCP連接原來的目的地址發(fā)送給所述安全網(wǎng)關(guān)客戶端裝置，所述安全網(wǎng)關(guān)客戶端裝置通過代理訪問模塊32再去和安全網(wǎng)關(guān)服務(wù)器通訊，通過重定向模塊31應(yīng)用客戶端并不知道自己連接的目標(biāo)地址已經(jīng)被更改了，提高了安全性能。所述安全網(wǎng)關(guān)客戶端裝置需要為每一個(gè)需要代理的應(yīng)用客戶端建立一個(gè)代理服務(wù)，此服務(wù)需要設(shè)置一個(gè)被代理的應(yīng)用服務(wù)器的地址和端口，所有連接到此服務(wù)本地監(jiān)聽端口的連接都會(huì)被轉(zhuǎn)發(fā)到該應(yīng)用服務(wù)器上去。當(dāng)代理訪問模塊32接收到一個(gè)新的代理連接時(shí)，它也會(huì)檢測(cè)此代理連接的目標(biāo)地址和端口，這里的地址可以是域名，也可以是IP地址，根據(jù)網(wǎng)絡(luò)連接的不同，自動(dòng)檢測(cè)，然后搜索代理服務(wù)的代理規(guī)則配置文件，根據(jù)代理規(guī)則配置文件來取出此次代理所需要的安全網(wǎng)關(guān)服務(wù)器及端口，并將信息組合，發(fā)送給安全網(wǎng)關(guān)服務(wù)器，安全網(wǎng)關(guān)服務(wù)器再去連接應(yīng)用服務(wù)器。注冊(cè)配置模塊2主要對(duì)所述安全網(wǎng)關(guān)客戶端裝置的相關(guān)參數(shù)進(jìn)行注冊(cè)，只有注冊(cè)過的終端才能聯(lián)網(wǎng)，該模塊還對(duì)認(rèn)證模塊l、密碼服務(wù)模塊41等模塊的一些基本參數(shù)進(jìn)行設(shè)置。注冊(cè)配置模塊2的基本參數(shù)如表1所示，基本參數(shù)注冊(cè)和配置決定了所述安全網(wǎng)關(guān)客戶端裝置的終端信息、代理模式、數(shù)據(jù)流向等?；緟?shù)注冊(cè)和配置是由專門的證服務(wù)頁(yè)面提供，容易修改和維護(hù)。表1注冊(cè)配置模塊2的基本參數(shù)注冊(cè)配置表<table>tableseeoriginaldocumentpage6</column></row><table><table>tableseeoriginaldocumentpage7</column></row><table>其中，連接模式有以下幾種1、安全網(wǎng)關(guān)客戶端反向代理模式該模式下，單個(gè)代理只能支持一個(gè)最終應(yīng)用，其地址只能由網(wǎng)關(guān)決定，客戶端訪問的是網(wǎng)關(guān)的地址，如果是B/S方式，則用戶需要在瀏覽器中使用Https訪問；網(wǎng)絡(luò)接入模式(與客戶端裝置配合使用)該模式下，單個(gè)代理可以支持多個(gè)應(yīng)用，最終應(yīng)用的地址由用戶決定，客戶端訪問的地址就是最終應(yīng)用的地址，并且無(wú)需改變?cè)袇f(xié)議。后臺(tái)協(xié)議類型在反向代理模式下，后臺(tái)服務(wù)的協(xié)議類型為HTTP。而在接入模式時(shí)，無(wú)需指定協(xié)議類型。本地服務(wù)IP地址對(duì)用戶提供服務(wù)的地址，地址必須為網(wǎng)絡(luò)配置中網(wǎng)絡(luò)接口或者虛擬接口具有的地址，通常為與用戶網(wǎng)絡(luò)連接的網(wǎng)絡(luò)接口的地址，即用戶可以通過此地址訪問網(wǎng)關(guān)服務(wù)。本地服務(wù)端口號(hào)對(duì)用戶提供服務(wù)的端口號(hào)，范圍從1-65535，避免使用其它協(xié)議約定的端口，如80，21，22等，建議使用443端口，443端口是https的默認(rèn)端口號(hào)，即https:〃192.168.191.7:443等同于https:〃192.168.191.7。后臺(tái)服務(wù)地址被系統(tǒng)保護(hù)的服務(wù)器地址或者域名，此地址必須是網(wǎng)關(guān)服務(wù)器能夠訪問的地址。當(dāng)代理模式為TBSG接入模式時(shí)，此地址無(wú)需指定。后臺(tái)服務(wù)端口號(hào)被系統(tǒng)保護(hù)的服務(wù)器的端口號(hào)。當(dāng)代理模式為接入模式時(shí)，此端口無(wú)需指定。以上顯示和描述了本實(shí)用新型的基本原理和主要特征及其優(yōu)點(diǎn)。本行業(yè)的技術(shù)人員應(yīng)該了解，本實(shí)用新型不受上述實(shí)施例的限制，上述實(shí)施例和說明書中描述的只是說明本實(shí)用新型的原理，在不脫離本實(shí)用新型精神和范圍的前提下，本實(shí)用新型還會(huì)有各種變化和改進(jìn)，這些變化和改進(jìn)都落入要求保護(hù)的本實(shí)用新型范圍內(nèi)。本實(shí)用新型要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定。權(quán)利要求1、一種安全網(wǎng)關(guān)客戶端裝置，其特征在于，它包括對(duì)訪問請(qǐng)求進(jìn)行身份認(rèn)證的認(rèn)證模塊、用于注冊(cè)安全網(wǎng)關(guān)客戶端裝置的硬件信息并讀取或存儲(chǔ)相關(guān)配置的注冊(cè)配置模塊、用于實(shí)現(xiàn)數(shù)據(jù)的間接傳輸并避免遭到攻擊的代理模塊及用于提供加密算法支持并在用戶訪問和數(shù)據(jù)傳輸時(shí)對(duì)數(shù)據(jù)或消息進(jìn)行加密傳輸?shù)拿艽a模塊組成。2、如權(quán)利要求1所述的安全網(wǎng)關(guān)客戶端裝置，其特征在于，所述代理模塊包括重定向模塊和代理訪問模塊。3、如權(quán)利要求2所述的安全網(wǎng)關(guān)客戶端裝置，其特征在于，所述重定向模塊加載在每個(gè)進(jìn)程的運(yùn)行空間中。4、如權(quán)利要求1所述的安全網(wǎng)關(guān)客戶端裝置，其特征在于，所述密碼模塊包括用于提供加密算法支持的密碼服務(wù)模塊和在用戶訪問和數(shù)據(jù)傳輸時(shí)請(qǐng)求所述密碼服務(wù)模塊提供相應(yīng)加密算法對(duì)數(shù)據(jù)或消息進(jìn)行加密傳輸?shù)拿艽a加密連接模塊。專利摘要本實(shí)用新型公開一種安全網(wǎng)關(guān)客戶端裝置，它包括對(duì)訪問請(qǐng)求進(jìn)行身份認(rèn)證的認(rèn)證模塊、用于注冊(cè)安全網(wǎng)關(guān)客戶端裝置的硬件信息并讀取或存儲(chǔ)相關(guān)配置的注冊(cè)配置模塊、用于實(shí)現(xiàn)數(shù)據(jù)的間接傳輸并避免遭到攻擊的代理模塊及用于提供加密算法支持并在用戶訪問和數(shù)據(jù)傳輸時(shí)對(duì)數(shù)據(jù)或消息進(jìn)行加密傳輸?shù)拿艽a模塊組成；采用重定向和代理訪問相結(jié)合的訪問方法，首先檢測(cè)用戶訪問行為，根據(jù)用戶行為，將用戶訪問重定向到客戶端，客戶端采用代理的方法訪問網(wǎng)關(guān)服務(wù)器，網(wǎng)關(guān)服務(wù)器再去連接應(yīng)用服務(wù)器，使用戶可以自由訪問網(wǎng)關(guān)保護(hù)的多個(gè)應(yīng)用系統(tǒng)，保證了訪問的安全，實(shí)現(xiàn)本實(shí)用新型的目的。文檔編號(hào)H04L29/06GK201252570SQ200820152489公開日2009年6月3日申請(qǐng)日期2008年8月29日優(yōu)先權(quán)日2008年8月29日發(fā)明者周國(guó)勇,欣李,杭強(qiáng)偉,歐陽(yáng)滿,福王,袁藝芳,翔鄒,波金,兵陳申請(qǐng)人:公安部第三研究所