技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于SSL協(xié)議的遠程安全接入方法和系統(tǒng)。

背景技術(shù)

當(dāng)前大多數(shù)的網(wǎng)絡(luò)應(yīng)用系統(tǒng)，無論其基于B/S還是C/S構(gòu)架，也無論其運行在Intranet還是Internet網(wǎng)絡(luò)環(huán)境中，當(dāng)其對于應(yīng)用系統(tǒng)數(shù)據(jù)的傳輸產(chǎn)生機密性和完整性等安全需求時，一種常用的解決方法是基于SSL協(xié)議的SSL?VPN技術(shù)，結(jié)合強身份認證、授權(quán)和訪問控制等機制，實施身份認證、加密傳輸和訪問控制等安全保護。

SSL?VPN自身架構(gòu)本質(zhì)上是C/S模式，即SSL?VPN客戶端(如果瀏覽器直接采用瀏覽器內(nèi)置的SSL或者TLS模塊，則瀏覽器本身就是SSL?VPN客戶端)向SSL?VPN網(wǎng)關(guān)(相對SSL?VPN客戶端而言是服務(wù)器)發(fā)起網(wǎng)絡(luò)連接請求，然后在SSL?VPN客戶端和SSL?VPN網(wǎng)關(guān)之間構(gòu)成安全通道，應(yīng)用系統(tǒng)的數(shù)據(jù)則通過此安全通道進行加密傳輸，并同時通過SSL?VPN客戶端和SSL?VPN網(wǎng)關(guān)完成數(shù)據(jù)的中繼。

目前SSL?VPN的C/S架構(gòu)存在一個缺陷，就是一般要求SSL?VPN客戶端必須通過Internet公網(wǎng)能夠訪問到SSL?VPN安全網(wǎng)關(guān)，比如需要SSL?VPN安全網(wǎng)關(guān)有Internet公網(wǎng)地址，或者需要其他接入設(shè)備、防火墻和網(wǎng)關(guān)做端口映射或者網(wǎng)絡(luò)連接重定向等處理，這就限制了SSLVPN的應(yīng)用。

發(fā)明內(nèi)容

本發(fā)明正是為了解決上述問題而提出的，本發(fā)明提供一種基于SSL協(xié)議的遠程安全接入方法和系統(tǒng)。

本發(fā)明的方法包括如下步驟：

S1：安全交換機部署在Internet公網(wǎng)，準備就緒；

S2：服務(wù)器安全連接器部署在企業(yè)或者組織內(nèi)部，主動連接安全交換機，并建立SSL通道；

S3：應(yīng)用系統(tǒng)客戶端通過安全連接器和公網(wǎng)安全交換機向應(yīng)用系統(tǒng)服務(wù)器發(fā)送請求信息；

S4：應(yīng)用系統(tǒng)服務(wù)器通過安全連接器和公網(wǎng)安全交換機將應(yīng)答數(shù)據(jù)返回給應(yīng)用系統(tǒng)客戶端。

其中，應(yīng)用系統(tǒng)客戶端通過安全連接器和公網(wǎng)安全交換機向應(yīng)用系統(tǒng)服務(wù)器發(fā)送請求信息的過程具體包括以下步驟：

S31：應(yīng)用系統(tǒng)客戶端向應(yīng)用系統(tǒng)服務(wù)器發(fā)起連接請求；

S32：客戶端安全連接器截獲此連接請求，主動連接安全交換機，并建立SSL通道；

S33：應(yīng)用系統(tǒng)客戶端向應(yīng)用系統(tǒng)服務(wù)器發(fā)送請求數(shù)據(jù)；

S34：客戶端安全連接器截獲此請求數(shù)據(jù)，通過客戶端安全連接器和安全交換機的SSL通道發(fā)送給安全交換機；

S35：安全交換機交換請求數(shù)據(jù)；

S36：安全交換機通過安全交換機和服務(wù)器安全連接器的SSL通道發(fā)送請求數(shù)據(jù)給服務(wù)器安全連接器；

S37：服務(wù)器安全連接器收到請求數(shù)據(jù)，主動連接應(yīng)用系統(tǒng)服務(wù)器，將請求數(shù)據(jù)發(fā)送給應(yīng)用系統(tǒng)服務(wù)器。

應(yīng)用系統(tǒng)服務(wù)器通過安全連接器和公網(wǎng)安全交換機將應(yīng)答數(shù)據(jù)返回給應(yīng)用系統(tǒng)客戶端的過程具體包括以下步驟：

S41：應(yīng)用系統(tǒng)服務(wù)器處理請求，生成應(yīng)答數(shù)據(jù)，將應(yīng)答數(shù)據(jù)返回給服務(wù)器安全連接器；

S42：服務(wù)器安全連接器將應(yīng)答數(shù)據(jù)通過安全交換機和服務(wù)器安全連接器的SSL通道返回給安全交換機；

S43：安全交換機交換應(yīng)答數(shù)據(jù)，通過客戶端安全連接器和安全交換機的SSL通道返回給客戶端安全連接器；

S44：客戶端安全連接器將應(yīng)答數(shù)據(jù)返回給應(yīng)用系統(tǒng)客戶端。

優(yōu)選的，安全交換機和安全連接器采用安全標記來進行交換處理；所述安全標記包含的信息有：源安全連接器標記和目的安全連接器標記，標記可以攜帶安全連接器本身的標識。域名、地址和端口信息，也可以攜帶應(yīng)用服務(wù)器的標識、域名、地址、地址范圍、類型、端口信息，或者攜帶用戶的身份、角色和權(quán)限信息。

本發(fā)明提供的基于SSL協(xié)議的遠程安全接入系統(tǒng)包括安全連接器、Internet公網(wǎng)和安全交換機，所述安全交換機設(shè)置在Internet公網(wǎng)上。

其中在所述安全交換機接收來自安全連接器的連接請求，將來自一個安全連接器的數(shù)據(jù)轉(zhuǎn)發(fā)給另外一個已經(jīng)連接的安全連接器，構(gòu)成“安全交換”模式。

其中，安全交換機從不主動向安全連接器發(fā)起網(wǎng)絡(luò)連接，都是接收來自安全連接器的網(wǎng)絡(luò)連接請求并與安全連接器構(gòu)建SSL通道，然后通過已經(jīng)構(gòu)建的SSL通道來完成數(shù)據(jù)傳輸。

優(yōu)選的，安全連接器負責(zé)向安全交換機發(fā)起網(wǎng)絡(luò)連接并與安全交換機構(gòu)建SSL通道，通過SSL通道向安全交換機發(fā)送數(shù)據(jù)，通過SSL通道從安全交換機接收交換結(jié)果數(shù)據(jù)。