安全訪問控制方法、客戶端及系統的製作方法

2023-05-13 08:05:51 1

專利名稱：安全訪問控制方法、客戶端及系統的製作方法
技術領域：
本發明涉及網絡安全領域，特別涉及一種安全訪問控制方法、客戶端及系統。
背景技術：
在企業網中，ITanformation Technology，信息技術)應用系統通常部署在數據 中心，不同的用戶通過不同網絡協議使用數據中心的IT系統，如財會人員通過HTTP (Hyper Text Transfer Protocol，超文本傳輸協議)登錄財務系統，一般員工通過FTP(File Transport Protocol，文件傳輸協議)下載文件，IT管理員通過Telnet協議登錄管理系 統。而由於各種客戶端使用不同的網絡協議訪問數據中心的IT系統，其中有一些網絡協議 屬於高風險網絡協議，如Telnet中通常包含管理員口令信息，而通過HTTP協議訪問財務系 統時則有可能包含敏感財會信息。而另一些常用協議卻屬於低風險協議，如FTP下載普通 文件時一般不包含保密信息。在越來越重視網絡安全的今天，為了保護企業信息安全，企業 網管理中通常會對一些高風險協議進行一些安全保護措施，如認證、授權、加密、審計等，或 限制使用人群，如僅管理員可以使用這些協議訪問。為了保護上述背景中的高風險網絡協議，現有技術中，一種較為普遍的方法是各 IT系統內部自行對高風險協議進行加密保護。如財務系統內部對敏感財會數據進行加密傳 輸，Telnet協議加密傳輸口令等。同時在數據中心邊緣部署防火牆，配置防火牆基於IP地 址的策略，僅特定人群可以使用高風險協議，一般用戶僅能使用一般的協議訪問IT系統。 例如，財會人員試圖用Telnet訪問財務系統或者文件伺服器是無法成功的，因為防火牆會 阻斷連接請求，而IT管理員則可以成功用Telnet協議連接到財務系統或者文件伺服器進 行管理。但是現有技術中，各個IT系統需要自行分別處理敏感信息，增加了 IT系統本身的 複雜度，防火牆基於IP位址的策略容易被冒用IP位址攻擊，安全性不高。

發明內容
本發明實施例提供一種安全訪問控制方法、客戶端及系統，以降低IT系統本身的 複雜度，提高系統的安全性。本發明實施例提供一種安全訪問控制方法，包括與安全網關建立安全連接通道；獲取與客戶端的身份對應的安全控制策略，所述安全控制策略包括安全策略和路 由策略；根據所述安全策略對所述客戶端自身進行安全檢查；對符合所述安全策略的客戶端的數據包，根據所述路由策略，將符合所述路由策 略的數據包通過所述安全連接通道發送到所述安全網關，將不符合所述路由策略的數據包 發送到普通路由器。本發明實施例提供一種客戶端，包括
建立模塊，用於與安全網關建立安全連接通道；獲取模塊，用於獲取與所述客戶端的身份對應的安全控制策略，所述安全控制策 略包括安全策略和路由策略；自檢模塊，用於根據所述安全策略對所述客戶端自身進行安全檢查；路由選擇模塊，用於將通過所述自檢模塊安全檢查的客戶端的數據包，根據路由 策略，將符合路由策略的數據包通過所述安全連接通道發送到所述安全網關，將不符合所 述路由策略的數據包發送到普通路由器。本發明實施例提供一種安全訪問控制系統，包括安全網關、普通路由器和客戶端， 所述客戶端通過所述安全網關或者所述普通路由器，對數據中心內的目的應用伺服器進行 訪問，所述客戶端，用於與所述安全網關建立安全連接通道；從安全伺服器下載與客戶 端的身份對應的安全控制策略，所述安全控制策略包括安全策略和路由策略；根據所述安 全策略對所述客戶端自身進行安全檢查；對符合所述安全策略的客戶端的數據包，根據所 述路由策略，將符合所述路由策略的數據包通過所述安全連接通道發送到所述安全網關， 將不符合所述路由策略的數據包發送到普通路由器；所述安全網關，用於和所述客戶端建立安全連接通道，接收來自所述客戶端的數 據包，解密發送到位於所述數據中心內的目的應用伺服器；接收來自所述數據中心內部的 數據包，加密發送到所述客戶端；所述普通路由器，用於接收所述客戶端的不符合路由策略的數據包，將所述不符 合路由策略的數據包發送到所述數據中心內的目的應用伺服器。本發明實施例通過以上技術方案，通過路由策略定義，統一處理符合路由策略的 信息，將所有需保密的敏感信息都經過安全連接通道發送到安全網關進入數據中心，數據 中心的應用伺服器無需再考慮數據保密問題，降低了 IT系統本身的複雜度，安全控制策略 與用戶身份綁定，在接入前根據安全策略檢查客戶端機器安全性，防止有安全隱患的客戶 端訪問受保護資源，有效提高了整體安全性。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現 有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本 發明的一些實施例，對於本領域普通技術人員來講，在不付出創造性勞動性的前提下，還可 以根據這些附圖獲得其他的附圖。圖1本發明實施例提供的一種安全訪問控制方法流程圖；圖2本發明實施例提供的一種安全訪問控制方法流程圖；圖3本發明實施例提供的一種安全訪問控制方法流程子圖；圖4本發明實施例提供的一種安全訪問控制方法流程子圖；圖5本發明實施例提供的一種路由策略定義示意圖；圖6本發明實施例提供的一種安全訪問控制方法流程圖；圖7本發明實施例提供的一種客戶端的結構圖；圖8本發明實施例提供的一種路由選擇模塊的結構圖9本發明實施例提供的一種安全訪問控制系統的結構圖；圖10本發明實施例提供的一種安全訪問控制系統的應用場景示意圖；圖11本發明實施例提供的一種安全訪問控制方法流程圖；圖12本發明實施例提供的一種獲取模塊的結構圖。
具體實施例方式下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完 整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於 本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他 實施例，都屬於本發明保護的範圍。如圖1所示，本發明實施例提供一種安全訪問控制方法，包括S110，與安全網關建立安全連接通道；客戶端啟動後，會登陸安全網關，與安全網關建立安全連接通道。這樣，所有通過 該安全連接通道發送到安全網關的數據包都是加密的。在一個實施例中，安全連接通道可以為VPN通道，在另一個實施例中也可以為SSL VPN通道，在另一個實施例中還可以為其它自己定義的安全連接通道，本發明實施例並不做 特別的限定。S120，獲取與客戶端的身份對應的安全控制策略，該安全控制策略包括安全策略 和路由策略；在一個實施例中，可以從安全伺服器下載與所述客戶端的身份對應的安全控制策 略。在一個實施例中，安全控制策略與客戶端的身份綁定，即不同的客戶端在登陸安全網關 後，從安全伺服器下載的安全控制策略是不同的。在一個實施例中，不同的客戶端可以預先根據需要訪問的受控資源向安全伺服器 申請不同的控制策略。例如，在客戶端登陸安全網關之前，如果需要訪問高密級的資源，則 客戶端向安全伺服器提出，訪問該高密級資源的控制策略的申請，然後安全伺服器管理人 員則根據用戶的身份、訪問需要等信息對用戶提出的申請進行審批。當審批通過後，在安全 伺服器中訪問該高密級資源的控制策略就與用戶的身份進行了綁定，當後續客戶端登陸安 全網關後就可以請求下載這個控制策略。在一個實施例中，客戶端從安全伺服器下載與客戶端的身份對應的安全控制策略 之前，需要向安全伺服器進行身份認證，身份認證通過後，安全伺服器就會將與該身份對應 的安全控制策略提供給客戶端進行下載。在一個實施例中，安全伺服器預先存儲著各個客戶端的身份信息，客戶端進行身 份認證時，會告知安全伺服器自己的身份信息和相應的驗證憑證(如，密碼、數字證書或者 口令等)。安全伺服器核對相應的驗證憑證是否正確，若正確則將與該身份對應的安全控制 策略提供給客戶端進行下載。在一個實施例中，安全控制策略包括安全策略和路由策略。客戶端可以根據安全 策略對自身進行安全檢查。例如，可以進行病毒掃描，間諜軟體掃描、木馬程序掃描、進程掃 描、埠掃描等。需要說明的是，在另一個實施例中，客戶端還可以從安全網關下載與自己的身份對應的安全控制策略。S130，根據安全策略對客戶端自身進行安全檢查；客戶端可以根據安全策略對自身進行安全檢查。例如，可以進行病毒掃描，間諜軟 件掃描、木馬程序掃描、進程掃描、埠掃描等。對於不符合安全策略的客戶端，安全網關拒絕對其提供服務，拆除安全連接通道。 對於符合安全策略的客戶端，客戶端將接受路由策略作為輸入，進入工作循環，根據路由策 略選擇路由，直到客戶端退出登陸拆除安全連接通道為止。S140，對於步驟S130中符合安全策略的客戶端的訪問網絡的數據包，根據路由策 略，將符合路由策略的數據包通過SllO建立的安全連接通道，發送到安全網關，將不符合 路由策略的數據包發送到普通路由器。在一個實施例中，路由策略可以包括，IP+埠規則根據數據包(如TCP/UDP報 文)的目的地址和目的埠號來選擇發送到安全網關還是發送到普通路由器。當安全網關接收到符合路由策略的數據包後，會對數據包進行解密，然後將數據 包發送到相應的目的地址。當普通路由器接收到不符合路由策略的數據包後，將數據包轉發到相應的目的地 址。本發明實施例通過以上技術方案，通過路由策略定義，統一處理符合路由策略的 信息，將所有需保密的敏感信息都經過安全連接通道發送到安全網關進入數據中心，數據 中心的應用伺服器無需再考慮數據保密問題，降低了 IT系統本身的複雜度，安全控制策略 與用戶身份綁定，在接入前根據安全策略檢查客戶端機器安全性，防止有安全隱患的客戶 端訪問受保護資源，有效提高了整體安全性。如圖11所示，本發明實施例提供一種安全訪問控制方法，包括S510，與安全網關建立安全連接通道；客戶端啟動後，會登陸安全網關，與安全網關建立安全連接通道。這樣，所有通過 該安全連接通道發送到安全網關的數據包都是加密的。在一個實施例中，安全連接通道可以為VPN通道，在另一個實施例中也可以為SSL VPN通道，在另一個實施例中還可以為其它自己定義的安全連接通道，本發明實施例並不做 特別的限定。S520，向安全網關進行身份認證，若身份認證通過，則獲取與所述客戶端的身份對 應的安全控制策略，即進行步驟S530 ；若身份認證不通過，則安全網關斷開S510中建立的 安全連接通道；S530，獲取與客戶端的身份對應的安全控制策略，該安全控制策略包括安全策略 和路由策略；在一個實施例中，可以從安全伺服器下載與所述客戶端的身份對應的安全控制策 略。在一個實施例中，安全控制策略與客戶端的身份綁定，即不同的客戶端在登陸安全網關 後，從安全伺服器下載的安全控制策略是不同的。在一個實施例中，不同的客戶端可以預先根據需要訪問的受控資源向安全伺服器 申請不同的控制策略。例如，在客戶端登陸安全網關之前，如果需要訪問高密級的資源，則 客戶端向安全伺服器提出，訪問該高密級資源的控制策略的申請，然後安全伺服器管理人員則根據用戶的身份、訪問需要等信息對用戶提出的申請進行審批。當審批通過後，在安全 伺服器中訪問該高密級資源的控制策略就與用戶的身份進行了綁定，當後續客戶端登陸安 全網關後就可以請求下載這個控制策略。在一個實施例中，客戶端從安全伺服器下載與客戶端的身份對應的安全控制策略 之前，需要向安全伺服器進行身份認證，身份認證通過後，安全伺服器就會將與該身份對應 的安全控制策略提供給客戶端進行下載。在一個實施例中，安全伺服器預先存儲著各個客戶端的身份信息，客戶端進行身 份認證時，會告知安全伺服器自己的身份信息和相應的驗證憑證(如，密碼、數字證書或者 口令等)。安全伺服器核對相應的驗證憑證是否正確，若正確則將與該身份對應的安全控制 策略提供給客戶端進行下載。在一個實施例中，安全控制策略包括安全策略和路由策略。客戶端可以根據安全 策略對自身進行安全檢查。例如，可以進行病毒掃描，間諜軟體掃描、木馬程序掃描、進程掃 描、埠掃描等。需要說明的是，在另一個實施例中，客戶端還可以從安全網關下載與自己的身份 對應的安全控制策略。在一個實施例中，安全網關在和客戶端進行身份驗證的時候，從安全 伺服器那裡把他的策略取下來，這樣客戶端就可以從安全網關那裡下載相應的安全控制策 略。在另一個實施例中，安全伺服器在用戶申請時把策略寫到網關裡，這樣客戶端就可以從 安全網關那裡下載相應的安全控制策略。SM0，根據安全策略對客戶端自身進行安全檢查；客戶端可以根據安全策略對自身進行安全檢查。例如，可以進行病毒掃描，間諜軟 件掃描、木馬程序掃描、進程掃描、埠掃描等。對於不符合安全策略的客戶端，安全網關拒絕對其提供服務，拆除安全連接通道。 對於符合安全策略的客戶端，客戶端將接受路由策略作為輸入，進入工作循環，根據路由策 略選擇路由，直到客戶端退出登陸拆除安全連接通道為止。S550，攔截符合S540中安全檢查的客戶端的數據包；即，攔截符合安全策略的客 戶端的數據包；S560，根據S550攔截的數據包中的目的IP位址和目的埠號，在路由策略中查找 匹配記錄，若匹配則將所述數據包通過所述安全連接通道發送到所述安全網關，若不匹配 將所述數據包發送到普通路由器。在本實施例中，路由策略包括，IP+埠規則根據數據包(如TCP/UDP報文)的 目的地址和目的埠號來選擇發送到安全網關還是發送到普通路由器。本發明實施例通過以上技術方案，通過路由策略定義，統一處理敏感信息的加解 密問題，將所有需保密的敏感信息都經過安全網關進入數據中心，安全網關對數據進行應 用層透明的加解密，應用程式無需再考慮數據保密問題。安全網關的控制策略與用戶身份 綁定，客戶端在登錄安全網關前進行身份認證，認證後取得與身份綁定的控制策略，可以防 止IP假冒，對關鍵事件能更好的審計追蹤到人。另外，IP+埠的路由策略能夠更精確的 定義受控資源，對於非受控信息排除在安全網關之外，提高安全網關的效率。而且在接入前 根據安全策略檢查客戶端機器安全性，安全檢查涵蓋病毒掃描、間諜軟體掃描、木馬程序掃 描、進程掃描、埠掃描等，防止有安全隱患的客戶端訪問受保護資源，有效提高了整體安全性。如圖2所示，本發明實施例提供一種安全訪問控制方法，包括S210，與安全網關建立安全連接通道；客戶端啟動後，會登陸安全網關，與安全網關建立安全連接通道。這樣，所有通過 該安全連接通道發送到安全網關的數據包都是加密的。在一個實施例中，安全連接通道可以為VPN通道，在另一個實施例中也可以為SSL VPN通道，在另一個實施例中還可以為其它自己定義的安全連接通道，本發明實施例並不做 特別的限定。S220，從安全伺服器下載與客戶端的身份對應的安全控制策略，該安全控制策略 包括安全策略和路由策略；在一個實施例中，安全控制策略與客戶端的身份綁定，即不同的客戶端在登陸安 全網關後，從安全伺服器下載的安全控制策略是不同的。在一個實施例中，不同的客戶端可以預先根據需要訪問的受控資源向安全伺服器 申請不同的控制策略。在一個實施例中，客戶端從安全伺服器下載與客戶端的身份對應的安全控制策略 之前，需要向安全伺服器進行身份認證，身份認證通過後，安全伺服器就會將與該身份對應 的安全控制策略提供給客戶端進行下載。在一個實施例中，安全伺服器預先存儲著各個客戶端的身份信息，客戶端進行身 份認證時，會告知安全伺服器自己的身份信息和相應的驗證憑證(如，密碼、數字證書或者 口令等)。安全伺服器核對相應的驗證憑證是否正確，若正確則將與該身份對應的安全控制 策略提供給客戶端進行下載。在一個實施例中，安全控制策略包括安全策略和路由策略。客戶端可以根據安全 策略對自身進行安全檢查。例如，可以進行病毒掃描，間諜軟體掃描、木馬程序掃描、進程掃 描、埠掃描等。S230，根據安全策略對客戶端自身進行安全檢查；客戶端可以根據安全策略對自身進行安全檢查。例如，可以進行病毒掃描，間諜軟 件掃描、木馬程序掃描、進程掃描、埠掃描等。對於不符合安全策略的客戶端，安全網關拒絕對其提供服務，拆除安全連接通道。SM0，對於符合安全策略的客戶端，客戶端將激活訪問控制模塊，訪問控制模塊接 受路由策略作為輸入，激活後進入工作循環，根據路由策略選擇路由，直到用戶退出客戶端 軟體在一個實施例中，訪問控制模塊可以包括一個過濾驅動程序，該驅動位於操作系 統(如Windows作業系統)TCP/IP協議棧和物理網卡驅動程序之間，所有經過協議棧傳遞 到下層網卡驅動程序的數據包必將流入本驅動程序。這樣，在一個實施例中，如圖3所示， 步驟S240可以包括SM1，客戶端激活過濾驅動，將從安全伺服器下載的控制策略傳遞給驅動程序，指 令驅動程序開始工作；SM2，提取數據包中的TCP/UDP頭部，根據數據包中的目的IP位址和TCP/UDP頭 部中的目的埠號，在路由策略中查找匹配記錄，若符合則提交到安全網關路由轉發模塊，否則不做處理，繼續交由下一層網卡驅動程序發送到普通路由器。在這裡，安全網關路由轉發模塊用於和安全網關建立安全通道連接，接收驅動程 序傳遞上來的數據包，負責安全連接的加解密、發送接收動作。在一個實施例中，可以採用Windows NDIS (Network Driver InterfaceSpecification，網絡驅動程序接口規範)中間層驅動(NDIS IM)的方式插入過 濾驅動程序，在過濾驅動中根據路由策略重定向數據包，而路由策略則由客戶端的Win32 程序通過驅動操作接口傳遞到驅動內部。在一個實施例中，如在Linux或者Unix系統中，訪問控制模塊可以包括一個過濾 器，如netfilter內核模塊，這樣，在一個實施例中，如圖4所示，步驟S240可以包括SM3，對於符合安全策略的客戶端，客戶端激活netfilter內核模塊，將從安全服 務器下載的控制策略傳遞給netfilter內核模塊，指令netfilter內核模塊開始工作；在一個實施例中，如在Linux或者Unix系統中，可以用本實施例的netfilter內 核模塊實現數據包的攔截和路由。例如，可以通過Linux或者Unix系統的netfilter內核 模塊機制，註冊NF_IP_L0CAL_IN和NF_IP_L0CAL_0UT過濾函數。這樣，在TCP/IP內核模塊 處理路由數據的前、後會調用以上註冊的過濾函數，在過濾函數內實現策略路由轉發。SM4，提取數據包中的TCP/UDP頭部，根據數據包中的目的IP位址和TCP/UDP頭 部中的目的埠號，在路由策略中查找匹配記錄，若符合則提交到安全網關路由轉發模塊， 否則不做處理，繼續交由下一層內核模塊發送到普通路由器。本發明實施例通過以上技術方案，通過路由策略定義，統一處理敏感信息的加解 密問題，將所有需保密的敏感信息都經過安全網關進入數據中心，安全網關對數據進行應 用層透明的加解密，應用程式無需再考慮數據保密問題。安全網關的控制策略與用戶身份 綁定，客戶端在登錄安全網關前進行身份認證，認證後取得與身份綁定的控制策略，可以防 止IP假冒，對關鍵事件能更好的審計追蹤到人。另外，IP+埠的路由策略能夠更精確的 定義受控資源，對於非受控信息排除在安全網關之外，提高安全網關的效率。而且在接入前 根據安全策略檢查客戶端機器安全性，安全檢查涵蓋病毒掃描、間諜軟體掃描、木馬程序掃 描、進程掃描、埠掃描等，防止有安全隱患的客戶端訪問受保護資源，有效提高了整體安 全性。在本發明另一個實施例中，為使本領域一般技術人員，更為形象的了解本發明實 施例提供的技術方案，在該實施例中，提供一種實際應用場景舉例進行說明，具體如下假設數據中心有一臺文件伺服器域名為fileServer.huawei.com，IP位址為 192. 168. 1. 100，現欲保護此文件伺服器的telnet埠(TCP_23)，另有一個TOB網站在 secret, huawei. com，IP 地址為 192. 168. 1. 200，埠為 TCP_8080，欲保護此 web 站點，僅允 許ITAdmin群組的用戶可以通過安全網關訪問，其餘流量通過普通路由器直接訪問，可以 定義路由策略如圖5所示。如圖5所示，僅僅ITAdmin群組的成員(chenyuling和gaoxianwei)在登錄 安全網關時會取得這份路由策略。訪問控制模塊應用這份路由策略，當用戶試圖訪問 192. 168. 1. 100:23或者192. 168. 1. 200:8080時，驅動程序截獲數據包，傳遞到安全網關路 由轉發模塊，由安全網關路由轉發模塊進行SSL加密封裝發送到安全網關，安全網關解封 解密後路由到數據中心內部的目標機器上。而FTP下載文件的數據流量由於不在路由策略內，不會發送到安全網關，而是通過普通的路由器進入數據中心。本發明實施例通過以上技術方案，通過路由策略定義，統一處理敏感信息的加解 密問題，將所有需保密的敏感信息都經過安全網關進入數據中心，安全網關對數據進行應 用層透明的加解密，應用程式無需再考慮數據保密問題。安全網關的控制策略與用戶身份 綁定，客戶端在登錄安全網關前進行身份認證，認證後取得與身份綁定的控制策略，可以防 止IP假冒，對關鍵事件能更好的審計追蹤到人。另外，IP+埠的路由策略能夠更精確的 定義受控資源，對於非受控信息排除在安全網關之外，提高安全網關的效率。而且在接入前 根據安全策略檢查客戶端機器安全性，安全檢查涵蓋病毒掃描、間諜軟體掃描、木馬程序掃 描、進程掃描、埠掃描等，防止有安全隱患的客戶端訪問受保護資源，有效提高了整體安 全性。為使本領域普通技術人員更好的理解本發明實施例的技術方案，如圖6所示，本 發明實施例提供一種安全訪問控制方法的具體實施例，包括S1001，客戶端與安全網關建立安全連接通道；客戶端啟動後，會登陸安全網關，與安全網關建立安全連接通道。這樣，所有通過 該安全連接通道發送到安全網關的數據包都是加密的。S1002，安全連接通道建立成功後，安全網關向客戶端反饋安全連接通道建立0K;建立完安全連接後，客戶端發向安全網關的數據都要通過此安全連接到達安全網 關，數據在安全連接中傳輸是加密的。S1003，客戶端向安全網關進行身份認證；S1004，通過身份認證後，安全網關向客戶端反饋身份認證0K;S1005，客戶端向安全伺服器下載安全控制策略；該安全策略與客戶端的身份對應；該安全控制策略包括安全策略和路由策略。S1006，安全伺服器向用戶提供安全控制策略下載；在用戶下載時，安全伺服器核對用戶提供的相應的驗證憑證是否正確，若正確則 將與該身份對應的安全控制策略提供給客戶端進行下載。S1007，客戶端根據安全策略對自身進行安全檢查；客戶端可以根據安全策略對自身進行安全檢查。例如，可以進行病毒掃描，間諜軟 件掃描、木馬程序掃描、進程掃描、埠掃描等。對於不符合安全策略的客戶端，安全網關拒絕對其提供服務，拆除安全連接通道。S1009，安全檢查通過後，客戶端向安全網關發送受控數據；在這裡，受控數據是符合路由策略的數據，需要經過安全網關到達應用伺服器1。客戶端向安全網關發送的受控數據，是經過安全連接達到安全網關的，數據在安 全連接中的傳輸是加密的。S1010，安全網關對客戶端發送過來的受控數據進行拆包解密；S1011，安全網關將經過拆包解密的受控數據發送給目標應用伺服器，即應用服務 器1 ；在這裡，應用伺服器1是受控應用的。S1012，應用伺服器1根據安全網關發送過來的受控數據，處理業務邏輯；例如，在一個實施例中，安全網關將客戶端通過Telnet登陸應用伺服器1的請求 拆包解密後發送給應用伺服器1，應用伺服器1接收到這個請求後，就會允許客戶端通過Telnet 登陸。S1013，應用伺服器1將根據業務邏輯處理得到的受控數據發送給安全網關；S1014，安全網關對接收到的來自應用伺服器1的受控數據加密封包；S1015，安全網關將加密封包後的受控數據發送給客戶端；如果客戶端發送的是非受控數據，則按照如下流程處理S1016，客戶端向普通路由器發送非受控數據；S1017，普通路由器將該非受控數據發送給目標伺服器，即應用伺服器2 ；在這裡 應用伺服器2是非受控應用的。S1018，應用伺服器2根據普通路由器發送的非受控數據，處理非業務邏輯；S1019，應用伺服器2將根據業務邏輯處理得到的非受控數據發送給普通路由器；S1020，普通路由器將S1019中的非受控數據轉發給客戶端；當客戶端完成了數據的發送和接收(包括受控數據和非受控數據)後，會請求和 安全網關斷開安全連接，即，S1021，客戶端請求和安全網關斷開安全連接；S1020，安全網關斷開與客戶端的安全連接。斷開連接後，一個工作循環結束。本發明實施例通過以上技術方案，通過路由策略定義，統一處理敏感信息的加解 密問題，將所有受控信息都經過安全網關進入數據中心，安全網關對數據進行應用層透明 的加解密，應用程式無需再考慮數據保密問題。安全網關的控制策略與用戶身份綁定，客 戶端在登錄安全網關前進行身份認證，認證後取得與身份綁定的控制策略，可以防止IP假 冒，對關鍵事件能更好的審計追蹤到人，有效提高了整體安全性。如圖7所示，本發明實施例提供一種客戶端，包括建立模塊410，用於與安全網關建立安全連接通道；在一個實施例中，安全連接通道可以為VPN通道，在另一個實施例中也可以為SSL VPN通道，在另一個實施例中還可以為其它自己定義的安全連接通道，本發明實施例並不做 特別的限定。獲取模塊420，用於獲取與客戶端的身份對應的安全控制策略，該安全控制策略包 括安全策略和路由策略；在一個實施例中，安全控制策略與客戶端的身份綁定，即不同的客戶端在登陸安 全網關後，獲取模塊420從安全伺服器下載的安全控制策略是不同的。具體的申請安全控制策略的過程在方法實施例中已經詳細描述，在此不再贅述。自檢模塊430，用於根據獲取模塊420下載的安全策略對自身進行安全檢查；客戶端可以根據安全策略對自身進行安全檢查。例如，可以進行病毒掃描，間諜軟 件掃描、木馬程序掃描、進程掃描、埠掃描等。對於不符合安全策略的客戶端，安全網關拒絕對其提供服務，拆除安全連接通道。 對於符合安全策略的客戶端，客戶端將接受路由策略作為輸入，進入工作循環，根據路由策 略選擇路由，直到客戶端退出登陸拆除安全連接通道為止。路由選擇模塊440，用於將通過自檢模塊430安全檢查的客戶端的訪問網絡的數 據包，根據路由策略，將符合路由策略的數據包通過SllO建立的安全連接通道，發送到安 全網關，將不符合路由策略的數據包發送到普通路由器。
在一個實施例中，路由策略可以包括，IP+埠規則根據數據包(如TCP/UDP報 文)的目的地址和目的埠號來選擇發送到安全網關還是發送到普通路由器。如圖7中虛線框所示，該客戶端還包括認證處理模塊411，用於向安全網關進行身份認證，若身份認證通過，則獲取模塊 420獲取與客戶端的身份對應的安全控制策略；若身份認證不通過，則安全網關斷開所述 安全連接通道。如圖8所示，在一個實施例中，路由選擇模塊440包括數據包攔截單元441，用於攔截自檢模塊430中符合安全策略的客戶端的訪問網 絡的數據包；路由單元442，用於根據數據包攔截單元441攔截的數據包中的目的IP位址和目 的埠號，在路由策略中查找匹配記錄，若匹配則將數據包通過所述安全連接通道發送到 所述安全網關，若不匹配將數據包發送到普通路由器。在一個實施例中，路由單元442可以提取數據包中的TCP/UDP頭部，根據數據包中 的目的IP位址和TCP/UDP頭部中的目的埠號，在路由策略中查找匹配記錄，若符合則提 交到安全網關路由轉發模塊，否則發送到普通路由器。如圖12所示，在一個實施例中，獲取模塊420包括第一下載單元421，用於從安全伺服器下載與所述客戶端的身份對應的安全控制 策略；第二下載單元422，用於從安全網關下載與所述客戶端的身份對應的安全控制策 略。在一個實施例中，安全網關在和客戶端進行身份驗證的時候，從安全伺服器那裡 把他的策略取下來，這樣客戶端的第二下載單元422就可以從安全網關那裡下載相應的安 全控制策略。在另一個實施例中，安全伺服器在用戶申請時把策略寫到網關裡，這樣客戶端 的第二下載單元422就可以從安全網關那裡下載相應的安全控制策略。本發明實施例通過以上技術方案，通過路由策略定義，統一處理敏感信息的加解 密問題，將所有需保密的敏感信息都經過安全網關進入數據中心，安全網關對數據進行應 用層透明的加解密，應用程式無需再考慮數據保密問題。安全網關的控制策略與用戶身份 綁定，客戶端在登錄安全網關前進行身份認證，認證後取得與身份綁定的控制策略，可以防 止IP假冒，對關鍵事件能更好的審計追蹤到人。另外，IP+埠的路由策略能夠更精確的 定義受控資源，對於非受控信息排除在安全網關之外，提高安全網關的效率。而且在接入前 根據安全策略檢查客戶端機器安全性，安全檢查涵蓋病毒掃描、間諜軟體掃描、木馬程序掃 描、進程掃描、埠掃描等，防止有安全隱患的客戶端訪問受保護資源，有效提高了整體安 全性。如圖9所示，本發明實施例提供一種安全訪問控制系統，包括，安全網關10，對數 據中心的應用伺服器進行訪問的客戶端20和普通路由器30 ；客戶端20，用於登陸安全網關，與安全網關建立安全連接通道；獲取與自身的身 份對應的安全控制策略，該安全控制策略包括安全策略和路由策略；根據安全策略對客戶 端自身進行安全檢查；檢查通過後，根據路由策略，將符合路由策略的數據包通過建立的安 全連接通道，發送到安全網關，將不符合路由策略的數據包發送到普通路由器；
在一個實施例中，客戶端20可以從安全伺服器下載與所述客戶端的身份對應的 安全控制策略；在另一個實施例中，客戶端20還可以從安全網關10下載與自己的身份對 應的安全控制策略。具體的兩種下載策略，在前述方法實施例中已經詳細描述，在此不再贅 述。安全網關10，用於和登陸的客戶端20建立安全連接通道，接收來自客戶端20的數 據包，解密發送到位於數據中心內的目的地址，同時接收來自數據中心內部的數據包，加密 發送到客戶端20 ；在一個實施例中，安全網關10位於數據中心邊緣，數據包在到達安全網關10之前 是加密的，保證在到達安全網關10之前的數據安全性；數據包在到達安全網關10後被解密 發送到數據中心內的目的地址，因此目的地址看到的數據包是明文的，無需處理加解密問 題。同理，數據中心發送到客戶端20的數據包也是明文的，數據包在到達安全網關10的時 候才由安全網關10加密，通過安全連接通道發送到客戶端20，由客戶端20解密遞交上層應 用程序。普通路由器30，用於接收來自客戶端20的不符合路由策略的數據包，將所述數據 包發送到位於數據中心內的目的地址。在圖9所示的系統中，客戶端20與安全網關10建立安全連接通道後，並非所有數 據包都經過安全連接通道進入數據中心，對於非保護範圍的數據包(即，不符合路由策略 的數據包)將通過普通路由器30進入數據中心。其中，客戶端20的任一種具體結構詳見上述施例，在此不再贅述。本發明實施例通過以上技術方案，通過路由策略定義，統一處理敏感信息的加解 密問題，將所有需保密的敏感信息都經過安全網關進入數據中心，安全網關對數據進行應 用層透明的加解密，應用程式無需再考慮數據保密問題。安全網關的控制策略與用戶身份 綁定，客戶端在登錄安全網關前進行身份認證，認證後取得與身份綁定的控制策略，可以防 止IP假冒，對關鍵事件能更好的審計追蹤到人。另外，IP+埠的路由策略能夠更精確的 定義受控資源，對於非受控信息排除在安全網關之外，提高安全網關的效率。而且在接入前 根據安全策略檢查客戶端機器安全性，安全檢查涵蓋病毒掃描、間諜軟體掃描、木馬程序掃 描、進程掃描、埠掃描等，防止有安全隱患的客戶端訪問受保護資源，有效提高了整體安 全性。如圖10所示，本發明實施例提供一種安全訪問控制系統的具體應用場景示意圖， 在圖10中有兩個客戶端，分別是財會人員21和IT管理員22。另外數據中心在本實施例中 包括兩臺應用伺服器，分別是財務系統31和文件伺服器41。在本實施例中，財會人員21通過HTTP訪問財務系統31和IT管理員22通過 Telnet登陸管理文件伺服器，而者兩種行為都包括預先定義的高風險的協議埠，如財務 系統的埠，文件伺服器的Telnet埠，訪問這這些高風險協議埠的數據包進入數據中 心的唯一途徑就是通過安全網關進入。其他非高風險協議則可以通過普通路由器進入數據中心，如圖10中IT管理員22 通過FTP協議在文件伺服器41上下載文件，就不包括高風險協議，所以，可以通過普通路由 器進入數據中心中的文件伺服器41，進行FTP下載。本發明實施例通過以上技術方案，通過路由策略定義，統一處理敏感信息的加解密問題，將所有需保密的敏感信息都經過安全網關進入數據中心，安全網關對數據進行應 用層透明的加解密，應用程式無需再考慮數據保密問題。安全網關的控制策略與用戶身份 綁定，客戶端在登錄安全網關前進行身份認證，認證後取得與身份綁定的控制策略，可以防 止IP假冒，對關鍵事件能更好的審計追蹤到人。另外，IP+埠的路由策略能夠更精確的 定義受控資源，對於非受控信息排除在安全網關之外，提高安全網關的效率。而且在接入前 根據安全策略檢查客戶端機器安全性，安全檢查涵蓋病毒掃描、間諜軟體掃描、木馬程序掃 描、進程掃描、埠掃描等，防止有安全隱患的客戶端訪問受保護資源，有效提高了整體安 全性。本領域普通技術人員可以理解實現上述實施例方法中的全部或部分流程，是可以 通過電腦程式來指令相關的硬體來完成，所述的程序可存儲於一計算機可讀取存儲介質 中，該程序在執行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質可為磁 碟、光碟、只讀存儲記憶體(Read-Only Memory, ROM)或隨機存儲記憶體(Random Access Memory, RAM)等。以上所述僅為本發明的幾個實施例，本領域的技術人員依據申請文件公開的可以 對本發明進行各種改動或變型而不脫離本發明的精神和範圍。
權利要求
1.一種安全訪問控制方法，其特徵在於，包括與安全網關建立安全連接通道；獲取與客戶端的身份對應的安全控制策略，所述安全控制策略包括安全策略和路由策略；根據所述安全策略對所述客戶端自身進行安全檢查；對符合所述安全策略的客戶端的數據包，根據所述路由策略，將符合所述路由策略的 數據包通過所述安全連接通道發送到所述安全網關，將不符合所述路由策略的數據包發送 到普通路由器。
2.如權利要求1所述的安全訪問控制方法，其特徵在於，所述對符合所述安全策略的 客戶端的數據包，根據所述路由策略，將符合所述路由策略的數據包通過所述安全連接通 道發送到所述安全網關，將不符合所述路由策略的數據包發送到普通路由器，包括攔截符合安全策略的客戶端的數據包；根據所述數據包中的目的IP位址和目的埠號，在所述路由策略中查找匹配記錄，若 匹配則將所述數據包通過所述安全連接通道發送到所述安全網關，若不匹配將所述數據包 發送到普通路由器。
3.如權利要求1所述的安全訪問控制方法，其特徵在於，所述獲取與客戶端的身份對 應的安全控制策略，包括從安全伺服器下載與所述客戶端的身份對應的安全控制策略；或者，從所述安全網關下載與所述客戶端的身份對應的安全控制策略。
4.如權利要求1所述的安全訪問控制方法，其特徵在於，所述獲取與客戶端的身份對 應的安全控制策略之前，包括向所述安全網關進行身份認證，若身份認證通過，則獲取與所述客戶端的身份對應的 安全控制策略；若身份認證不通過，則所述安全網關斷開所述安全連接通道。
5.一種客戶端，其特徵在於，包括建立模塊，用於與安全網關建立安全連接通道；獲取模塊，用於獲取與所述客戶端的身份對應的安全控制策略，所述安全控制策略包 括安全策略和路由策略；自檢模塊，用於根據所述安全策略對所述客戶端自身進行安全檢查；路由選擇模塊，用於將通過所述自檢模塊安全檢查的客戶端的數據包，根據路由策略， 將符合路由策略的數據包通過所述安全連接通道發送到所述安全網關，將不符合所述路由 策略的數據包發送到普通路由器。
6.如權利要求5所述的客戶端，其特徵在於，所述路由選擇模塊包括數據包攔截單元，用於攔截所述通過所述自檢模塊安全檢查的客戶端的數據包；路由單元，用於根據所述數據包攔截單元攔截的數據包中的目的IP位址和目的埠 號，在所述路由策略中查找匹配記錄，若匹配則將所述數據包通過所述安全連接通道發送 到所述安全網關，若不匹配將所述數據包發送到普通路由器。
7.如權利要求5所述的客戶端，其特徵在於，所述獲取模塊包括第一下載單元或者第 二下載單元；所述第一下載單元，用於從安全伺服器下載與所述客戶端的身份對應的安全控制策略；所述第二下載單元，用於從所述安全網關下載與所述客戶端的身份對應的安全控制策略。
8.如權利要求5所述的客戶端，其特徵在於，所述客戶端還包括認證處理模塊，用於向所述安全網關進行身份認證，若身份認證通過，則所述獲取模塊 獲取與所述客戶端的身份對應的安全控制策略；若身份認證不通過，則所述安全網關斷開 所述安全連接通道。
9.一種安全訪問控制系統，包括安全網關、普通路由器和客戶端，所述客戶端通過所述 安全網關或者所述普通路由器，對數據中心內的目的應用伺服器進行訪問，其特徵在於，所述客戶端，用於與所述安全網關建立安全連接通道；獲取與自身的身份對應的安全 控制策略，所述安全控制策略包括安全策略和路由策略；根據所述安全策略對所述客戶端 自身進行安全檢查；對符合所述安全策略的客戶端的數據包，根據所述路由策略，將符合所 述路由策略的數據包通過所述安全連接通道發送到所述安全網關，將不符合所述路由策略 的數據包發送到普通路由器；所述安全網關，用於和所述客戶端建立安全連接通道，接收來自所述客戶端的數據包， 解密發送到位於所述數據中心內的目的應用伺服器；接收來自所述數據中心內部的數據 包，加密發送到所述客戶端；所述普通路由器，用於接收所述客戶端的不符合路由策略的數據包，將所述不符合路 由策略的數據包發送到所述數據中心內的目的應用伺服器。
10.如權利要求9所述的安全訪問控制系統，其特徵在於，所述客戶端具體用於與安全網關建立安全連接通道；從安全伺服器下載與客戶端的身份對應的安全控制策 略，所述安全控制策略包括安全策略和路由策略；根據所述安全策略對所述客戶端自身進 行安全檢查；攔截符合安全策略的客戶端的數據包；根據所述數據包中的目的IP位址和目的埠號，在所述路由策略中查找匹配記錄，若 匹配則將所述數據包通過所述安全連接通道發送到所述安全網關，若不匹配將所述數據包 發送到普通路由器。
全文摘要
本發明實施例公開了一種安全訪問控制方法，包括與安全網關建立安全連接通道；獲取與客戶端的身份對應的安全控制策略，所述安全控制策略包括安全策略和路由策略；根據所述安全策略對所述客戶端自身進行安全檢查；對符合所述安全策略的客戶端的數據包，根據所述路由策略，將符合所述路由策略的數據包通過所述安全連接通道發送到所述安全網關，將不符合所述路由策略的數據包發送到普通路由器。相應的，本發明實施例還公開了一種客戶端和安全訪問控制系統，能降低IT系統複雜度，提高系統的安全性。
文檔編號H04L12/56GK102065059SQ20091010972
公開日2011年5月18日 申請日期2009年11月16日 優先權日2009年11月16日
發明者曹志源, 曾宇斌, 陳毓靈, 高獻偉, 魯飛 申請人:華為技術有限公司