專利名稱:一種安全網(wǎng)關(guān)客戶端的訪問方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種客戶端的訪問方法�,特別涉及一種適用于計(jì)算機(jī)信息安 全領(lǐng)域的安全網(wǎng)關(guān)客戶端的訪問方法��。
背景技術(shù):
隨著網(wǎng)絡(luò)的快速發(fā)展��,跨網(wǎng)絡(luò)的應(yīng)用訪問已經(jīng)成為一種趨勢����,而保障在 跨網(wǎng)絡(luò)過程中的數(shù)據(jù)安全性成為跨網(wǎng)絡(luò)應(yīng)用訪問面臨的一個(gè)重要問題。
現(xiàn)有的�,通過將安全網(wǎng)關(guān)部署在網(wǎng)絡(luò)邊界來保證跨網(wǎng)絡(luò)信息傳輸?shù)陌踩?保密和完整,實(shí)現(xiàn)客戶端和服務(wù)器之間身份的有效認(rèn)證����、授權(quán)和數(shù)據(jù)傳輸安 全,安全網(wǎng)關(guān)的訪問方法是網(wǎng)關(guān)技術(shù)中重要的環(huán)節(jié)�。
傳統(tǒng)的安全網(wǎng)關(guān)都是使用代理(proxy)的應(yīng)用模式,然而僅僅是代理模 式��,通過代理使用戶能夠通過探測����、偵聽等手段獲得目標(biāo)資料地址,給用戶 帶來不便的同時(shí)也帶來了安全的隱患��。
因此�����,特別需要一種安全網(wǎng)關(guān)客戶端的訪問方法���,對所有經(jīng)過安全網(wǎng)關(guān) 的網(wǎng)絡(luò)流量都進(jìn)行處理�,然后傳遞給被保護(hù)的應(yīng)用服務(wù)���,使用戶可以自由訪 問安全網(wǎng)關(guān)保護(hù)的多個(gè)應(yīng)用系統(tǒng)����,訪問更安全�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題在于提供一種安全網(wǎng)關(guān)客戶端的訪問方法���, 通過將重定向和代理訪問相結(jié)合�����,先使用重定向技術(shù)將連接重定向到客戶端�, 再使用代理模式進(jìn)行訪問��,對所有經(jīng)過安全網(wǎng)關(guān)的網(wǎng)絡(luò)流量都進(jìn)行處理,然 后傳遞給被保護(hù)的應(yīng)用服務(wù)���,使用戶可以自由訪問網(wǎng)關(guān)保護(hù)的多個(gè)應(yīng)用系統(tǒng)����, 保證了訪問的安全�。
本發(fā)明所要解決的技術(shù)問題可以通過以下技術(shù)方案來實(shí)現(xiàn) 一種安全網(wǎng)關(guān)客戶端的訪問方法,其特征在于����,當(dāng)應(yīng)用客戶端向應(yīng)用服務(wù)器發(fā)起連接時(shí),由重定向模塊將應(yīng)用客戶端連接到安全網(wǎng)關(guān)客戶端�����,安全 網(wǎng)關(guān)客戶端通過代理服務(wù)模塊訪問安全網(wǎng)關(guān)服務(wù)器��,由安全網(wǎng)關(guān)服務(wù)器與應(yīng) 用服務(wù)器連接���。
在本發(fā)明的一個(gè)實(shí)施例中�����,所述重定向模塊加載在每個(gè)進(jìn)程的運(yùn)行空間中����。
在本發(fā)明的一個(gè)實(shí)施例中,當(dāng)所述重定向模塊檢測到所述應(yīng)用客戶端發(fā) 往應(yīng)用服務(wù)器的連接后�����,修改所述應(yīng)用客戶端連接的目的地址和端口�����,并保 存所述應(yīng)用客戶端原來要連接的目的地址和端口 ��。
在本發(fā)明的一個(gè)實(shí)施例中�,所述重定向模塊將所述應(yīng)用客戶端連接的目 的地址和端口修改為所述安全網(wǎng)關(guān)客戶端的本地服務(wù)監(jiān)聽端口 (通常為
127.0.0.1:9986)���。
在本發(fā)明的一個(gè)實(shí)施例中�,所述重定向模塊通過重定向規(guī)則控制���,所述 重定向規(guī)則由應(yīng)用客戶端名稱���、目標(biāo)地址、目標(biāo)端口�����、協(xié)議、是否有效和過 濾條件構(gòu)成���。
在本發(fā)明的一個(gè)實(shí)施例中�����,當(dāng)所述應(yīng)用客戶端與所述安全網(wǎng)關(guān)客戶端連 接成功后����,所述重定向模塊將原來的目的地址發(fā)送給安全網(wǎng)關(guān)客戶端�,所述 安全網(wǎng)關(guān)客戶端通過代理服務(wù)模塊與安全網(wǎng)關(guān)服務(wù)器通訊。
在本發(fā)明的一個(gè)實(shí)施例中����,所述代理服務(wù)模塊將所有連接到所述安全網(wǎng) 關(guān)客戶端的本地服務(wù)監(jiān)聽端口都轉(zhuǎn)發(fā)到所述應(yīng)用服務(wù)器上。
在本發(fā)明的一個(gè)實(shí)施例中��,所述安全網(wǎng)關(guān)客戶端會檢測所述代理服務(wù)模 塊連接的目標(biāo)地址和端口���,取出此次代理所需要的網(wǎng)關(guān)服務(wù)器及端口����,并將 信息組合,發(fā)送給所述安全網(wǎng)關(guān)服務(wù)器����,所述安全網(wǎng)關(guān)服務(wù)器再去連接所述 應(yīng)用服務(wù)器。
在本發(fā)明的一個(gè)實(shí)施例中�,所述代理服務(wù)模塊通過代理規(guī)則控制,所述 代理規(guī)則包括目標(biāo)地址�����、目標(biāo)端口���、網(wǎng)關(guān)地址、網(wǎng)關(guān)端口和網(wǎng)關(guān)代理模式構(gòu) 成��。
在本發(fā)明的一個(gè)實(shí)施例中��,所述目標(biāo)地址可以是域名����,也可以是IP地址。 本發(fā)明的一種安全網(wǎng)關(guān)客戶端的訪問方法�,采用重定向和代理訪問相結(jié) 合的訪問方法,首先檢測用戶訪問行為�,根據(jù)用戶行為���,將用戶訪問重定向 到客戶端,客戶端采用代理的方法訪問網(wǎng)關(guān)服務(wù)器��,網(wǎng)關(guān)服務(wù)器再去連接應(yīng)
5用服務(wù)器�����,使用戶可以自由訪問網(wǎng)關(guān)保護(hù)的多個(gè)應(yīng)用系統(tǒng)�����,保證了訪問的安 全���,實(shí)現(xiàn)本發(fā)明的目的�����。
圖1為本發(fā)明的安全網(wǎng)關(guān)客戶端的訪問方法的總體框圖���; 圖2為本發(fā)明的安全網(wǎng)關(guān)客戶端的訪問方法的選擇模式圖。
具體實(shí)施方法
為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段�����、創(chuàng)作特征、達(dá)成目的與功效易于明白了 解��,下面結(jié)合具體圖示��,進(jìn)一步闡述本發(fā)明�。
如圖1所示,圖1為本發(fā)明的安全網(wǎng)關(guān)客戶端的訪問方法的總體框圖��; 其中��,包括應(yīng)用客戶端����、安全網(wǎng)關(guān)客戶端�、安全網(wǎng)關(guān)服務(wù)器和應(yīng)用服務(wù)器; 安全網(wǎng)關(guān)客戶端和安全網(wǎng)關(guān)服務(wù)器設(shè)置在應(yīng)用客戶端和應(yīng)用服務(wù)器之間��,用 于對應(yīng)用客戶端和應(yīng)用服務(wù)器之間傳輸?shù)臄?shù)據(jù)進(jìn)行安全防護(hù)���。
本發(fā)明的安全網(wǎng)關(guān)客戶端的訪問方法中�,應(yīng)用客戶端先連接到安全網(wǎng)關(guān) 客戶端��,安全認(rèn)證客戶端再連接到安全網(wǎng)關(guān)服務(wù)器,最后由安全網(wǎng)關(guān)服務(wù)器 再連接到應(yīng)用服務(wù)器�,數(shù)據(jù)通過安全網(wǎng)關(guān)在應(yīng)用客戶端和應(yīng)用服務(wù)器傳輸。
本發(fā)明的安全網(wǎng)關(guān)客戶端的訪問方法中����,在數(shù)據(jù)的流動過程中,為了讓 應(yīng)用客戶端首先連接安全網(wǎng)關(guān)客戶端而不是直接連接應(yīng)用服務(wù)器�,當(dāng)應(yīng)用客 戶端向應(yīng)用服務(wù)器發(fā)起連接時(shí),應(yīng)用客戶端通過重定向模塊向安全網(wǎng)關(guān)客戶 端發(fā)送初始化信息�����,初始化信息中包括主要應(yīng)用服務(wù)器的地址和端口�����,安全 網(wǎng)關(guān)客戶端收到初始化信息之后�,會將應(yīng)用客戶端發(fā)送過來的信息通過代理 服務(wù)模塊訪問組合成安全網(wǎng)關(guān)服務(wù)器所能夠理解的信息傳送給安全網(wǎng)關(guān)服務(wù) 器,安全網(wǎng)關(guān)服務(wù)器收到這些信息之后�����,提取出應(yīng)用服務(wù)器的地址和端口�����, 然后連接應(yīng)用服務(wù)器。
如圖2所示��,圖2為本發(fā)明的安全網(wǎng)關(guān)客戶端的訪問方法的選擇模式圖����; 重定向模塊和代理服務(wù)模塊主要由安全網(wǎng)關(guān)客戶端控制。首先�����,安全網(wǎng)關(guān)客 戶端會檢查應(yīng)用客戶端的行為�����,記錄應(yīng)用客戶端訪問應(yīng)用服務(wù)器的端口和地 址�����,并檢査是否是合法的應(yīng)用客戶訪問行為����,如果不是��,重定向模塊和代理 服務(wù)模塊則不進(jìn)行工作�����。重定向模塊由重定向規(guī)則控制,代理服務(wù)模塊由代理規(guī)則控制�����,圖2中 實(shí)線箭頭代表從應(yīng)用角度的數(shù)據(jù)流動方向���,虛線表示實(shí)際的數(shù)據(jù)流動方向��。
在本發(fā)明的一個(gè)實(shí)施例中����,所述重定向模塊加載在每個(gè)進(jìn)程的運(yùn)行空間 中���;當(dāng)所述重定向模塊檢測到所述應(yīng)用客戶端發(fā)往應(yīng)用服務(wù)器的連接后��,所 述重定向模塊將所述應(yīng)用客戶端連接的目的地址和端口修改為所述安全網(wǎng)關(guān)
客戶端的本地服務(wù)監(jiān)聽端口 (通常為127.0.0.1:9986)�,并保存所述應(yīng)用客戶 端原來要連接的目的地址和端口 �。
當(dāng)所述應(yīng)用客戶端與所述安全網(wǎng)關(guān)客戶端連接成功后,所述重定向模塊 將原來的目的地址發(fā)送給安全網(wǎng)關(guān)客戶端��,所述安全網(wǎng)關(guān)客戶端通過代理服 務(wù)模塊與安全網(wǎng)關(guān)服務(wù)器通訊�。
所述重定向模塊通過重定向規(guī)則對檢測到所述應(yīng)用客戶端發(fā)往應(yīng)用服務(wù) 器的連接進(jìn)行判斷�;此時(shí)���,應(yīng)用客戶端并不知道自己連接的目標(biāo)地址已經(jīng)被 更改了��。
所述重定向規(guī)則由應(yīng)用客戶端名稱�����、目標(biāo)地址�、目標(biāo)端口���、協(xié)議���、是否 有效和過濾條件構(gòu)成。
應(yīng)用客戶端名稱可執(zhí)行程序的文件名��,例如IE的可執(zhí)行文件名為 iexplore.exe�,引號是必須加的,"*"表示任意的應(yīng)用程序����,重定向模塊首先 會檢測應(yīng)用客戶端程序執(zhí)行名稱���,根據(jù)應(yīng)用客戶端的程序名確定重定向的方 法��。
目標(biāo)地址應(yīng)用客戶端要連接的應(yīng)用服務(wù)器的IP地址����,支持*通配。 目標(biāo)端口應(yīng)用客戶端要連接的應(yīng)用服務(wù)器的端口��, *表示任意端口���,
目標(biāo)端口支持端口范圍��,表示一個(gè)范圍的格式為起始端口 結(jié)束端口���,例
如"10 20"表示從10到20的所有端口。
協(xié)議訪問的目標(biāo)端口對應(yīng)的協(xié)議����,支持HTTP, HTTPS����, TCP三種協(xié)議。
是否有效是否啟用這一條重定向規(guī)則��,Enable表示有效,Disable表示 無效����。
過濾條件應(yīng)用客戶端會從安全網(wǎng)關(guān)客戶端下載過濾條件,內(nèi)容包括訪 問應(yīng)用客戶端的黑白名單�、端口、鏈路等�,根據(jù)這些過濾條件確定從何種鏈 路過來的程序,應(yīng)該從何種端口進(jìn)行重定向��,不符合過濾條件的請求被丟棄��。重定向規(guī)則建立以后����,重定向模塊會自動檢測應(yīng)用客戶端發(fā)起網(wǎng)絡(luò)連接 時(shí)所連接的目標(biāo)IP地址和端口的請求,重定向模塊在重定向規(guī)則列表中首先 應(yīng)用過濾條件��,再自動?xùn)苏蚁乱粭l符合當(dāng)前網(wǎng)絡(luò)連接的重定向規(guī)則����,根據(jù)這 一條規(guī)則來處理當(dāng)前的網(wǎng)絡(luò)連接,而不會繼續(xù)檢査剩下的重定向規(guī)則��。
因此,在具體的實(shí)施過程中我們可以根據(jù)這一特點(diǎn)來完成一些復(fù)雜的重 定向配置�。對于符合重定向規(guī)則的網(wǎng)絡(luò)連接,重定向模塊會將此連接的目標(biāo) IP和端口修改成代理客戶端的監(jiān)聽地址和端口并向代理服務(wù)模塊發(fā)送消息��。
重定向模塊內(nèi)部內(nèi)嵌兩條默認(rèn)的規(guī)則①"MainApp.exe" *.*.*.* * TCP Disable,②"*" 127.0.0.1 * TCP Disalbe�����,這兩條規(guī)則總是在檢査外置規(guī)則之 前檢測�。這兩條規(guī)則的含義是①所有由安全網(wǎng)關(guān)客戶端發(fā)出的連接都不被 代理�����。②所有連接到本機(jī)環(huán)回地址(127.0.0.1)的網(wǎng)絡(luò)連接都不被代理�����。
安全網(wǎng)關(guān)客戶端需要為每一個(gè)需要代理的應(yīng)用客戶端建立一個(gè)代理服 務(wù)�����,此服務(wù)需要設(shè)置一個(gè)被代理的應(yīng)用服務(wù)器的地址和端口���,所有連接到此 服務(wù)本地監(jiān)聽端口的連接都會被轉(zhuǎn)發(fā)到該應(yīng)用服務(wù)器上去�。
所述安全網(wǎng)關(guān)客戶端會檢測所述代理服務(wù)模塊連接的目標(biāo)地址和端口, 取出此次代理所需要的網(wǎng)關(guān)服務(wù)器及端口��,并將信息組合����,發(fā)送給所述安全 網(wǎng)關(guān)服務(wù)器,所述安全網(wǎng)關(guān)服務(wù)器再去連接所述應(yīng)用服務(wù)器�����。
當(dāng)代理服務(wù)模塊接收到根據(jù)重定向規(guī)則要求的一個(gè)新的代理連接時(shí)��,它 也會檢測此代理連接的目標(biāo)地址和端口��,這里的地址可以是域名�����,也可以是 IP地址��,根據(jù)網(wǎng)絡(luò)連接的不同����,自動檢測,然后搜索代理服務(wù)的代理規(guī)則配 置文件���,根據(jù)代理規(guī)則配置文件來決定此次代理的模式�����,和此次代理所需要 的安全網(wǎng)關(guān)服務(wù)器及端口����。當(dāng)找不到規(guī)則時(shí)�,使用該服務(wù)的默認(rèn)配置。
所述代理規(guī)則包括目標(biāo)地址���、目標(biāo)端口�、網(wǎng)關(guān)地址��、網(wǎng)關(guān)端口和網(wǎng)關(guān)代 理模式構(gòu)成
目標(biāo)地址應(yīng)用服務(wù)器的地址�,可以是IP地址也可以是域名。 目標(biāo)端口應(yīng)用服務(wù)器的服務(wù)端口�。 網(wǎng)關(guān)地址網(wǎng)關(guān)服務(wù)器的地址 網(wǎng)關(guān)端口網(wǎng)關(guān)服務(wù)器的端口
網(wǎng)關(guān)代理模式網(wǎng)關(guān)地址和端口所對應(yīng)服務(wù)的代理模式,主要是三種��, 代理模式���、穿透模式�、IP模式。代理服務(wù)模塊在代理規(guī)則列表中遍歷����,找到一條符合當(dāng)前網(wǎng)絡(luò)連接的規(guī) 則后,會根據(jù)這一條規(guī)則來處理當(dāng)前的網(wǎng)絡(luò)連接��,而不會繼續(xù)檢査剩下的規(guī) 則�。因此在具體的實(shí)施過程中我們可以根據(jù)這一特點(diǎn)來完成一些復(fù)雜的代理 配置。
以上顯示和描述了本發(fā)明的基本原理和主要特征及其優(yōu)點(diǎn)���。本行業(yè)的技 術(shù)人員應(yīng)該了解����,本發(fā)明不受上述實(shí)施例的限制��,上述實(shí)施例和說明書中描 述的只是說明本發(fā)明的原理��,在不脫離本發(fā)明精神和范圍的前提下���,本發(fā)明 還會有各種變化和改進(jìn)����,這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)��。 本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書及其等效物界定。
權(quán)利要求
1�、一種安全網(wǎng)關(guān)客戶端的訪問方法,其特征在于�����,當(dāng)應(yīng)用客戶端向應(yīng)用服務(wù)器發(fā)起連接時(shí)�����,由重定向模塊將應(yīng)用客戶端連接到安全網(wǎng)關(guān)客戶端����,安全網(wǎng)關(guān)客戶端通過代理服務(wù)模塊訪問安全網(wǎng)關(guān)服務(wù)器�����,由安全網(wǎng)關(guān)服務(wù)器與應(yīng)用服務(wù)器連接����。
2、 如權(quán)利要求1所述的訪問方法����,其特征在于��,所述重定向模塊加載在每個(gè)進(jìn)程的運(yùn)行空間中���。
3、 如權(quán)利要求l所述的訪問方法��,其特征在于���,當(dāng)所述重定向模塊檢測到所述應(yīng)用客戶端發(fā)往應(yīng)用服務(wù)器的連接后�����,修改所述應(yīng)用客戶端連接的目的地址和端口 ��,并保存所述應(yīng)用客戶端原來要連接的目的地址和端口 �����。
4���、 如權(quán)利要求3所述的訪問方法,其特征在于�����,所述重定向模塊將所述應(yīng)用客戶端連接的目的地址和端口修改為所述安全網(wǎng)關(guān)客戶端的本地服務(wù)監(jiān)聽端口。
5�、 如權(quán)利要求1所述的訪問方法,其特征在于��,當(dāng)所述應(yīng)用客戶端與所述安全網(wǎng)關(guān)客戶端連接成功后�����,所述重定向模塊將原來的目的地址發(fā)送給安全網(wǎng)關(guān)客戶端���,所述安全網(wǎng)關(guān)客戶端通過代理服務(wù)模塊與安全網(wǎng)關(guān)服務(wù)器通訊��。
6��、 如權(quán)利要求l所述的訪問方法,其特征在于�,所述重定向模塊通過重定向規(guī)則控制,所述重定向規(guī)則由應(yīng)用客戶端名稱��、目標(biāo)地址�����、目標(biāo)端口��、協(xié)議、是否有效和過濾條件構(gòu)成�。
7、 如權(quán)利要求1所述的訪問方法����,其特征在于,所述代理服務(wù)模塊將所有連接到所述安全網(wǎng)關(guān)客戶端的本地服務(wù)監(jiān)聽端口都轉(zhuǎn)發(fā)到所述應(yīng)用服務(wù)器上���。
8��、 如權(quán)利要求1所述的訪問方法����,其特征在于�,所述安全網(wǎng)關(guān)客戶端會檢測所述代理服務(wù)模塊連接的目標(biāo)地址和端口,取出此次代理所需要的網(wǎng)關(guān)服務(wù)器及端口�����,并將信息組合����,發(fā)送給所述安全網(wǎng)關(guān)服務(wù)器,所述安全網(wǎng)關(guān)服務(wù)器再去連接所述應(yīng)用服務(wù)器���。
9�����、 如權(quán)利要求l所述的訪問方法�,其特征在于,所述代理服務(wù)模塊通過代理規(guī)則控制�����,所述代理規(guī)則包括目標(biāo)地址�、目標(biāo)端口、網(wǎng)關(guān)地址�����、網(wǎng)關(guān)端口和網(wǎng)關(guān)代理模式構(gòu)成����。
10�、如權(quán)利要求9所述的訪問方法,其特征在于��,所述目標(biāo)地址為域名或IP地址�����。
全文摘要
本發(fā)明公開一種安全網(wǎng)關(guān)客戶端的訪問方法,當(dāng)應(yīng)用客戶端向應(yīng)用服務(wù)器發(fā)起連接時(shí)�,由重定向模塊將應(yīng)用客戶端連接到安全網(wǎng)關(guān)客戶端,安全網(wǎng)關(guān)客戶端通過代理服務(wù)模塊訪問安全網(wǎng)關(guān)服務(wù)器���,由安全網(wǎng)關(guān)服務(wù)器與應(yīng)用服務(wù)器連接�;采用重定向和代理訪問相結(jié)合的訪問方法�����,首先檢測用戶訪問行為��,根據(jù)用戶行為�,將用戶訪問重定向到客戶端,客戶端采用代理的方法訪問網(wǎng)關(guān)服務(wù)器��,網(wǎng)關(guān)服務(wù)器再去連接應(yīng)用服務(wù)器�����,使用戶可以自由訪問網(wǎng)關(guān)保護(hù)的多個(gè)應(yīng)用系統(tǒng)��,保證了訪問的安全,實(shí)現(xiàn)本發(fā)明的目的���。
文檔編號H04L9/00GK101662357SQ200810042250
公開日2010年3月3日 申請日期2008年8月29日 優(yōu)先權(quán)日2008年8月29日
發(fā)明者周國勇, 欣 李, 歐陽滿, 沈寒輝, 福 王, 袁藝芳, 翔 鄒, 兵 陳 申請人:公安部第三研究所