一种基于SSL协议的远程安全接入方法和系统

摘要

本发明涉及网络安全技术领域，提供一种基于SSL协议的远程安全接入方法和系统。其中的系统包括安全连接器、Internet公网和安全交换机，安全交换机部署在Internet公网上，安全连接器部署在内网或者内网边界，所述安全交换机接收来自安全连接器的网络连接并构建SSL通道，将来自一个安全连接器的数据转发给另外一个已经连接的安全连接器，构成“安全交换”模式。通过本发明，只需在Internet上部署一个或者少量的安全交换机，企业只需部署安全连接器，就可以实现应用系统的远程安全接入，简化了部署，降低了成本。

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于SSL协议的远程安全接入方法和系统。

背景技术

当前大多数的网络应用系统，无论其基于B/S还是C/S构架，也无论其运行在Intranet还是Internet网络环境中，当其对于应用系统数据的传输产生机密性和完整性等安全需求时，一种常用的解决方法是基于SSL协议的SSL VPN技术，结合强身份认证、授权和访问控制等机制，实施身份认证、加密传输和访问控制等安全保护。

SSL VPN自身架构本质上是C/S模式，即SSL VPN客户端(如果浏览器直接采用浏览器内置的SSL或者TLS模块，则浏览器本身就是SSL VPN客户端)向SSL VPN网关(相对SSL VPN客户端而言是服务器)发起网络连接请求，然后在SSL VPN客户端和SSL VPN网关之间构成安全通道，应用系统的数据则通过此安全通道进行加密传输，并同时通过SSL VPN客户端和SSL VPN网关完成数据的中继。

目前SSL VPN的C/S架构存在一个缺陷，就是一般要求SSL VPN客户端必须通过Internet公网能够访问到SSL VPN安全网关，比如需要SSL VPN安全网关有Internet公网地址，或者需要其他接入设备、防火墙和网关做端口映射或者网络连接重定向等处理，这就限制了SSLVPN的应用。

发明内容

本发明正是为了解决上述问题而提出的，本发明提供一种基于SSL协议的远程安全接入方法和系统。

本发明的方法包括如下步骤：

S1：安全交换机部署在Internet公网，准备就绪；

S2：服务器安全连接器部署在企业或者组织内部，主动连接安全交换机，并建立SSL通道；

S3：应用系统客户端通过安全连接器和公网安全交换机向应用系统服务器发送请求信息；

S4：应用系统服务器通过安全连接器和公网安全交换机将应答数据返回给应用系统客户端。

其中，应用系统客户端通过安全连接器和公网安全交换机向应用系统服务器发送请求信息的过程具体包括以下步骤：

S31：应用系统客户端向应用系统服务器发起连接请求；

S32：客户端安全连接器截获此连接请求，主动连接安全交换机，并建立SSL通道；

S33：应用系统客户端向应用系统服务器发送请求数据；

S34：客户端安全连接器截获此请求数据，通过客户端安全连接器和安全交换机的SSL通道发送给安全交换机；

S35：安全交换机交换请求数据；

S36：安全交换机通过安全交换机和服务器安全连接器的SSL通道发送请求数据给服务器安全连接器；

S37：服务器安全连接器收到请求数据，主动连接应用系统服务器，将请求数据发送给应用系统服务器。

应用系统服务器通过安全连接器和公网安全交换机将应答数据返回给应用系统客户端的过程具体包括以下步骤：

S41：应用系统服务器处理请求，生成应答数据，将应答数据返回给服务器安全连接器；

S42：服务器安全连接器将应答数据通过安全交换机和服务器安全连接器的SSL通道返回给安全交换机；

S43：安全交换机交换应答数据，通过客户端安全连接器和安全交换机的SSL通道返回给客户端安全连接器；

S44：客户端安全连接器将应答数据返回给应用系统客户端。

优选的，安全交换机和安全连接器采用安全标记来进行交换处理；所述安全标记包含的信息有：源安全连接器标记和目的安全连接器标记，标记可以携带安全连接器本身的标识。域名、地址和端口信息，也可以携带应用服务器的标识、域名、地址、地址范围、类型、端口信息，或者携带用户的身份、角色和权限信息。

本发明提供的基于SSL协议的远程安全接入系统包括安全连接器、Internet公网和安全交换机，所述安全交换机设置在Internet公网上。

其中在所述安全交换机接收来自安全连接器的连接请求，将来自一个安全连接器的数据转发给另外一个已经连接的安全连接器，构成“安全交换”模式。

其中，安全交换机从不主动向安全连接器发起网络连接，都是接收来自安全连接器的网络连接请求并与安全连接器构建SSL通道，然后通过已经构建的SSL通道来完成数据传输。

优选的，安全连接器负责向安全交换机发起网络连接并与安全交换机构建SSL通道，通过SSL通道向安全交换机发送数据，通过SSL通道从安全交换机接收交换结果数据。

优选的，安全连接器和安全交换机之间采用SSL或者TLS协议，这些基于SSL或者TLS协议的连接，通过单向证书或者通过双向证书完成身份认证。

本发明相对于现有的SSL VPN等远程安全接入方法和系统相比较，可以为多个企业或者组织提供可运营的远程安全接入服务，企业或者组织通过部署安全连接器，就可以满足远程安全接入的需求，而不需要拥有固定或者动态的公网地址，也不用购买独立的安全网关等复杂的远程安全接入软硬件设备和系统。

附图说明

图1是SSL VPN示意图；

图2是基于SSL协议的安全交换技术示意图；

图3是客户端安全连接器连接示意图；

图4是服务器安全连接器连接示意图；

图5是本发明的典型部署模式示意图；

图6是本发明的另一典型部署模式示意图；

图7是本发明的方法流程图。

图中：实线表示明文连接，虚线表示SSL或TLS连接。箭头表示网络连接方向。

具体实施方式

以下实施例用于说明本发明，但不用来限制本发明的范围。

本发明提出的“基于SSL协议的安全交换技术”引入安全交换的概念，提出了一个更广泛和更一般的安全互联和安全接入方法，更合理地解决了应用系统的远程安全接入问题。“基于SSL协议的安全交换技术”中的SSL协议，包括SSLv2、SSLv3、TLSv1以及SSL和TLS协议的其他各种版本。

“基于SSL协议的安全交换技术”有两个组成部分，一个称为安全交换机，一个称为安全连接器。安全交换机接收来自安全连接器的连接请求并构建SSL通道，将来自一个安全连接器的数据转发给另外一个已经连接的安全连接器，构成“安全交换”模式。安全连接器负责向安全交换机发起网络连接并与安全交换机构建SSL通道，通过SSL通道向安全交换机发送数据，通过SSL通道从安全交换机接收交换结果数据。安全连接器和安全交换机之间采用SSL或者TLS协议，这些基于SSL或者TLS协议的连接，可以通过单向证书完成身份认证，也可以通过双向证书完成身份认证。“基于SSL协议的安全交换技术”示意图如图2所示。

这里安全交换机和安全连接器从形态上讲，指满足“基于SSL协议的安全交换技术”的程序或者安装这个程序的软硬件系统。

安全连接器有两种模式，一种是客户端的安全连接器，简称客户端安全连接器。客户端安全连接器部署在应用系统客户端或者分支机构内部。客户端安全连接器接收并处理来自应用系统客户端的网络连接和数据，主动连接安全交换机，并与安全交换机建立SSL或者TLS通道，通过安全通道向安全交换机发送数据，并通过安全通道接收安全交换机交换回来的数据。客户端安全连接器示意图如图3所示。

如果直接采用浏览器来访问安全交换机，则浏览器本身就是既是应用系统客户端，同时也是客户端安全连接器。

另外一种是服务器端的安全连接器，简称服务器安全连接器。服务器安全连接器部署在应用系统的服务器端或者总部机构网络内部。服务器安全连接器主动连接安全交换机并建立SSL安全通道，通过安全通道接收来自安全交换机的数据，再根据相关的标记和配置分别连接不同的真实目的应用服务器，向应用服务器发送数据，然后将应用服务器返回的应答数据通过安全通道发送给安全交换机。服务器安全连接器示意图如图4所示。客户端安全连接器和服务器安全连接器可以合并在一起使用，对应用系统起到双向对等的安全连接保护。

图2、3、4的箭头表示网络连接的发起方向，而一旦网络建立连接后，应用系统的数据传输可以是双向的。其中实线表示明文连接，虚线表示SSL或TLS连接。

“基于SSL协议的安全交换技术”要求安全连接器能够访问安全交换机，服务器安全连接器能够访问应用系统服务器。安全交换机一般部署在公网；服务器安全连接器一般部署在内网或者直接部署在应用系统服务器上，并以串联或者并联的方式通过网络接入到内网边界和应用服务器之间；客户端安全连接器部署在应用系统的客户端上，或者部署在分支机构网络内部或分支机构网络边界处。典型的部署模式如图5、图6所示，其中箭头表示网络连接的发起方向，应用系统的数据传输可以是双向的。

“基于SSL协议的安全交换技术”的关键点在于，安全交换机从不主动向安全连接器发起网络连接，都是接收来自安全连接器的网络连接请求并与安全连接器构建SSL安全通道，然后通过已经构建的安全通道来完成数据传输。这就是“安全交换”的概念。

SSL VPN需要企业提供从Internet接入SSL VPN网关的能力，这就限制了SSL VPN的应用。“基于SSL协议的安全交换技术”则提供全新的交换模式，通过在Internet上部署一个或者少量的安全交换机，每个企业只需通过部署安全连接器，就可以实现应用系统的远程安全接入，简化了部署，降低了成本。

安全交换机和安全连接器采用安全标记来进行交换处理，安全标记包含的信息有：源安全连接器标记和目的安全连接器标记。标记可以携带安全连接器本身的标识、域名、地址和端口等信息，也可以携带应用服务器的标识、域名、地址、地址范围、类型、端口和端口范围等信息，还可以携带用户的身份、角色和权限等信息。

安全标记还包括安全交换所需要的其他相关信息。

本发明的具体工作流程如图7所示，首先，安全交换机部署在Internet公网，准备就绪(步骤S1)；然后，服务器安全连接器部署在企业或者组织内部，主动连接安全交换机，并建立SSL通道(步骤S2)；应用系统客户端通过安全连接器和公网安全交换机向应用系统服务器发送请求信息(步骤S3)；应用系统服务器通过安全连接器和公网安全交换机将应答数据返回给应用系统客户端(S4)。

其中，步骤S3具体又包括以下步骤：应用系统客户端向应用系统服务器发起连接请求(步骤S31)；客户端安全连接器截获此连接请求，主动连接安全交换机，并建立SSL通道(步骤S32)；应用系统客户端向应用系统服务器发送请求数据(步骤S33)；客户端安全连接器截获此请求数据，通过客户端安全连接器和安全交换机的SSL通道发送给安全交换机(步骤S34)；安全交换机交换请求数据(步骤S35)；安全交换机通过安全交换机和服务器安全连接器的SSL通道发送请求数据给服务器安全连接器(步骤S36)；服务器安全连接器收到请求数据，主动连接应用系统服务器，将请求数据发送给应用系统服务器(步骤S37)。

步骤S4具体又包括以下步骤：应用系统服务器处理请求，生成应答数据，将应答数据返回给服务器安全连接器(步骤S41)；服务器安全连接器将应答数据通过安全交换机和服务器安全连接器的SSL通道返回给安全交换机(步骤S42)；安全交换机交换应答数据，通过客户端安全连接器和安全交换机的SSL通道返回给客户端安全连接器(步骤S43)；客户端安全连接器将应答数据返回给应用系统客户端(步骤S44)。

虽然本发明是具体结合一个优选实施例示出和说明的，但熟悉该技术领域的人员可以理解，其中无论在形式上还是在细节上都可以作出各种改变，这并不背离本发明的精神实质和专利保护范围。