專利名稱:一種兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全保護(hù)方法����,尤其是一種兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法。
背景技術(shù):
目前��,對(duì)公用網(wǎng)絡(luò)也內(nèi)部網(wǎng)絡(luò)的通信��,一般采用sslvpn的模式����,如圖1所示。該模式的優(yōu)點(diǎn):1.在公用網(wǎng)絡(luò)的數(shù)據(jù)是實(shí)現(xiàn)了加密����,保證了數(shù)據(jù)的在公用網(wǎng)絡(luò)的安全。2.成功實(shí)現(xiàn)了內(nèi)外網(wǎng)的分離���。防止非法用戶潛入內(nèi)網(wǎng)。3.使用spv技術(shù)實(shí)現(xiàn)了對(duì)登錄用戶的身份確認(rèn)���。該模式的缺點(diǎn):1.在b/s模式下�,該模式不能很好的支持��,不能把內(nèi)網(wǎng)的HTTP應(yīng)用轉(zhuǎn)換城https應(yīng)用。2.無(wú)法確保外網(wǎng)訪問(wèn)者的操作是否安全��,如果外網(wǎng)是攻擊者����,在通過(guò)堡壘機(jī)的驗(yàn)證后,可以在內(nèi)網(wǎng)中任意的操作�����,無(wú)用戶權(quán)限控制��。
發(fā)明內(nèi)容
本發(fā)明提供了一種兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法����,既能保證內(nèi)外網(wǎng)的通信暢通,又能保證通信信息不外泄以及服務(wù)器不被攻擊�����。實(shí)現(xiàn)本發(fā)明目的的兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法�,包括如下步驟:(I)客戶端通過(guò)外網(wǎng)請(qǐng)求連接到代理,代理傳遞信息到身份認(rèn)證模塊����;(2)身份認(rèn)證模塊對(duì)其進(jìn)行身份的鑒別����,將鑒別結(jié)果返回給連接模塊���;(3)連接模塊根據(jù)身份鑒別的結(jié)果確定是否接受連接����,如果接受連接�����,則對(duì)服務(wù)器端發(fā)起連接����,建立通信管道;(4)當(dāng)客戶端發(fā)出訪問(wèn)資源的請(qǐng)求時(shí)����,代理把請(qǐng)求數(shù)據(jù)傳到訪問(wèn)控制;(5)訪問(wèn)控制模塊根據(jù)訪問(wèn)控制庫(kù)對(duì)其進(jìn)行判斷����,返回結(jié)果給代理;(6)代理根據(jù)訪問(wèn)控制返回的結(jié)果����,確定是否向服務(wù)器代理數(shù)據(jù)。本發(fā)明的兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法的有益效果如下:1����、本發(fā)明的網(wǎng)絡(luò)安全保護(hù)方法,在網(wǎng)絡(luò)傳輸中的信息不被竊聽(tīng)�����,保證中的各種應(yīng)用在系統(tǒng)中正常使用����。2、確保外網(wǎng)訪問(wèn)者的身份可信��。3����、防止來(lái)自外網(wǎng)的攻擊。4�����、防止合法訪問(wèn)者的非法操作。5���、能過(guò)很輕松的代理b/s模式,把http協(xié)議轉(zhuǎn)換成https協(xié)議�。
圖1為現(xiàn)有的網(wǎng)絡(luò)安全保護(hù)方法的示意圖����。圖2為本發(fā)明的兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法的示意圖。
具體實(shí)施例方式如圖2所示���,本發(fā)明的兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法����,包括如下步驟:(I)客戶端通過(guò)外網(wǎng)請(qǐng)求連接到代理���,代理傳遞信息到身份認(rèn)證模塊��;(2)身份認(rèn)證模塊對(duì)其進(jìn)行身份的鑒別���,將鑒別結(jié)果返回給連接模塊;(3)連接模塊根據(jù)身份鑒別的結(jié)果確定是否接受連接��,如果接受連接�,則對(duì)服務(wù)器端發(fā)起連接��,建立通信管道;(4)當(dāng)客戶端發(fā)出訪問(wèn)資源的請(qǐng)求時(shí)�����,代理把請(qǐng)求數(shù)據(jù)傳到訪問(wèn)控制�����;(5)訪問(wèn)控制模塊根據(jù)訪問(wèn)控制庫(kù)對(duì)其進(jìn)行判斷��,返回結(jié)果給代理�����;(6)代理根據(jù)訪問(wèn)控制返回的結(jié)果��,確定是否向服務(wù)器代理數(shù)據(jù)��。本發(fā)明的兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法的優(yōu)點(diǎn)如下:1����、本發(fā)明的網(wǎng)絡(luò)安全保護(hù)方法,在網(wǎng)絡(luò)傳輸過(guò)程中�,對(duì)外網(wǎng)通信的過(guò)程中進(jìn)行加密��,在互聯(lián)網(wǎng)上��,或者是非機(jī)房網(wǎng)絡(luò)的外網(wǎng)����,所有的通信都建立在SSL層的加密上的���,對(duì)內(nèi)網(wǎng)或者是機(jī)房?jī)?nèi)的網(wǎng)絡(luò)�����,采用明文傳輸�;這樣既保證了對(duì)外網(wǎng)絡(luò)的安全�����,也保證不需要修改應(yīng)用��。2����、對(duì)訪問(wèn)者身份認(rèn)證,確保訪問(wèn)者身份合法����。身份驗(yàn)證可以采取多中驗(yàn)證方式�����,可以是簡(jiǎn)單的用戶名和密碼,也可以是動(dòng)態(tài)的密碼�。或者是組合認(rèn)證��,這樣保證了登錄用戶安全��。3�、防止網(wǎng)絡(luò)上的攻擊,保護(hù)數(shù)據(jù)信息安全�。本發(fā)明可以應(yīng)對(duì)網(wǎng)絡(luò)上的攻擊,如xss����,sql注入等,保證了服務(wù)器的安全����。4、對(duì)已經(jīng)登錄的用戶行為進(jìn)行監(jiān)控��,中斷用戶的非授權(quán)訪問(wèn)。本發(fā)明對(duì)登錄系統(tǒng)的用戶操作進(jìn)行監(jiān)控���,如果登錄用戶有非授權(quán)操作(應(yīng)用級(jí)別的)���,可以中斷用戶操作。5�����、完美轉(zhuǎn)化http協(xié)議到https協(xié)議�。本發(fā)明集成了 http和https的服務(wù),可以對(duì)二者進(jìn)行無(wú)縫的轉(zhuǎn)換。上面所述的實(shí)施例僅僅是對(duì)本發(fā)明的優(yōu)選實(shí)施方式進(jìn)行描述��,并非對(duì)本發(fā)明的范圍進(jìn)行限定���,在不脫離本發(fā)明設(shè)計(jì)精神前提下����,本領(lǐng)域普通工程技術(shù)人員對(duì)本發(fā)明技術(shù)方案做出的各種變形和改進(jìn)����,均應(yīng)落入本發(fā)明的權(quán)利要求書(shū)確定的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法,包括如下步驟: (1)客戶端通過(guò)外網(wǎng)請(qǐng)求連接到代理��,代理傳遞信息到身份認(rèn)證模塊�����; (2)身份認(rèn)證模塊對(duì)其進(jìn)行身份的鑒別�,將鑒別結(jié)果返回給連接模塊; (3)連接模塊根據(jù)身份鑒別的結(jié)果確定是否接受連接��,如果接受連接��,則對(duì)服務(wù)器端發(fā)起連接�����,建立通信管道�; (4)當(dāng)客戶端發(fā)出訪問(wèn)資源的請(qǐng)求時(shí)�,代理把請(qǐng)求數(shù)據(jù)傳到訪問(wèn)控制; (5)訪問(wèn)控制模塊根據(jù)訪問(wèn)控制庫(kù)對(duì)其進(jìn)行判斷�����,返回結(jié)果給代理��; (6)代理根據(jù)訪問(wèn)控制返回的結(jié)果����,確定是否向服務(wù)器代理數(shù)據(jù)�。
全文摘要
本發(fā)明提供了一種既能保證內(nèi)外網(wǎng)的通信暢通�����,又能保證通信信息不外泄以及服務(wù)器不被攻擊的兼顧內(nèi)外網(wǎng)信息通暢性和安全性的網(wǎng)絡(luò)安全保護(hù)方法�����,包括如下步驟(1)客戶端通過(guò)外網(wǎng)請(qǐng)求連接到代理�,代理傳遞信息到身份認(rèn)證模塊;(2)身份認(rèn)證模塊對(duì)其進(jìn)行身份的鑒別���,將鑒別結(jié)果返回給連接模塊�����;(3)連接模塊根據(jù)身份鑒別的結(jié)果確定是否接受連接��,如果接受連接��,則對(duì)服務(wù)器端發(fā)起連接�,建立通信管道;(4)當(dāng)客戶端發(fā)出訪問(wèn)資源的請(qǐng)求時(shí)����,代理把請(qǐng)求數(shù)據(jù)傳到訪問(wèn)控制;(5)訪問(wèn)控制模塊根據(jù)訪問(wèn)控制庫(kù)對(duì)其進(jìn)行判斷�����,返回結(jié)果給代理����;(6)代理根據(jù)訪問(wèn)控制返回的結(jié)果,確定是否向服務(wù)器代理數(shù)據(jù)�����。
文檔編號(hào)H04L29/06GK103188254SQ20111046158
公開(kāi)日2013年7月3日 申請(qǐng)日期2011年12月31日 優(yōu)先權(quán)日2011年12月31日
發(fā)明者孫紹鋼 申請(qǐng)人:北京市國(guó)路安信息技術(shù)有限公司