技術領域

本發明實施例涉及網絡安全技術領域，尤其涉及一種安全接入方法、系統及客戶端。

背景技術

隨著企業信息化程度的不斷推進，越來越多的企業通過互聯網(Internet)來滿足員工、客戶以及合作伙伴遠程訪問企業內部網絡資源，這勢必會給企業的內部網絡帶來一定的安全威脅，所以需要有一種安全接入機制來保障通信以及敏感信息的安全。目前企業通過Internet實現安全接入的主要方式有網際安全虛擬專用網(IP?Security?Virtual?PrivateNetwork；簡稱為：IPSec?VPN)和安全套接字層虛擬專用網(Security?SocketLayer?Virtual?Private?Network；簡稱為：SSL?VPN)兩種。其中，由于SSLVPN方式支持網絡側通過第三方對客戶端側進行認證，通過硬件KEY對數據進行安全加密和解密，具有無須安裝客戶端軟件、安全等級較高，以及維護成本低、網絡適應性強等優勢，而被普遍采用。

基于SSL?VPN方法的安全接入系統包括五個部分：VPN客戶端、VPN網關、安全認證模塊、計時計費模塊及業務系統。其中VPN客戶端又被稱為“客戶端側”，其余四個部分均被稱為“網絡側”。具體工作流程為：VPN客戶端向網絡側的VPN網關發起安全接入請求，并使用硬件KEY對接入請求數據進行加密和簽名。網絡側在接收到安全接入請求后，通過第三方提供的安全認證模塊對VPN客戶端進行身份認證；認證通過后，VPN客戶端與網絡側建立安全通道。VPN客戶端將待發送的數據傳送給硬件KEY進行加密和認證并重新打包后，通過安全通道發送到網絡側的業務系統；同時VPN客戶端還用于接收經安全通道接收到的加密數據傳送給硬件KEY進行解密和認證，并將結果呈現給用戶；其中，通過計時計費模塊對安全接入用戶的訪問時間和流量進行實時監控。其中VPN客戶端和計時計費模塊可由企業開發；VPN網關和安全認證模塊由第三方提供，并與VPN客戶端和計時計費模塊采用統一協議，以實現安全接入業務系統。

在實現本發明過程中，發明人發現現有技術中至少存在如下問題：現有安全接入的方法和系統未能有效保證硬件KEY和客戶端使用的合法性，同時也未對硬件KEY做有效監控，例如若因硬件KEY遺失或者被非法獲取后，非合法用戶通過該硬件KEY實現接入操作時，將會影響接入系統的安全性，因此，現有基于硬件KEY實現網絡接入的方法在安全性上仍有缺陷。

發明內容

本發明實例提供一種安全接入方法、系統及客戶端，用以解決現有技術實現網絡接入時無法保證硬件KEY的合法性的缺陷，提高網絡接入的安全性。

本發明實例提供一種安全接入方法，包括：

采用安全智能卡的內置數字證書對安全智能卡的信息進行簽名和加密；

將簽名和加密后的安全智能卡的信息發送給平臺，以供所述平臺對所述信息的合法性、數字證書的有效性進行驗證；

當對所述信息的合法性與所述數字證書的有效性的驗證均通過后，采用所述數字證書對接入請求進行簽名和加密，向網絡側設備發送簽名和加密后的接入請求，實現網絡的安全接入。

本發明實例提供一種客戶端，包括：

第一加密模塊，用于采用安全智能卡的內置數字證書對安全智能卡的信息進行簽名和加密；

第一發送模塊，用于將簽名和加密后的安全智能卡的信息發送給平臺，以供所述平臺對信息的合法性、數字證書的有效性進行驗證；

第一處理模塊，用于在對所述信息的合法性與所述數字證書的有效性的驗證均通過后，采用所述數字證書對接入請求進行簽名和加密，向網絡側設備發送簽名和加密后的接入請求，實現網絡的安全接入。

本發明實例提供一種安全接入系統，包括本發明實施例提供的客戶端、平臺和網關。所述平臺，用于對所述安全智能卡的合法性和所述安全智能卡的內置數字證書的有效性進行驗證，并將驗證結果返回給所述客戶端；

所述網關，用于根據接收到的來自所述客戶端的接入請求，對所述客戶端進行身份認證，并在身份認證通過后建立所述客戶端與網絡側設備之間的安全數據通道，實現網絡的安全接入。

本發明實例的安全接入方法、系統及客戶端，通過安全智能卡實現網絡的安全接入，首先對安全智能卡的合法性和其內的內置的數字證書的有效性進行驗證，并用通過驗證的安全智能卡的內置數字證書對數據進行簽名和加密，實現客戶端與網絡側設備之間數據的安全交互；本發明技術方案基于對安全智能卡的合法性驗證通過后實現，與現有技術相比，進一步提高了網絡接入的安全性。

附圖說明