专利名称:网络安全设备远程安全拨入的方法及其系统的制作方法
技术领域:
本发明涉及一种网络安全设备远程安全拨入的方法及其系统,特别是一种网络安全设备远程拨入可控,并且该网络安全设备通过加密通信隧道与远程服务端进行交互的方法以及实现该方法的系统,属于网络安全技术领域。
背景技术:
目前,许多网络安全设备,例如防火墙,在实际应用中,当用户需要做高级技术支持时,往往需要技术支持人员亲临用户现场,这样就增加了安全设备厂商和用户的服务费用。
如果直接通过“远程登录”(一种用于远程联接服务的标准协议或者实现此协议的软件,简称为Telnet)进行“远程支持”,又容易被黑客在互联网上窃听到密码,使安全设备本身的安全性大打折扣。尤其是一些安全设备只在内部网使用,没有公网的IP地址,利用telnet进行远程支持就不可能实现了。
有些设备虽然提供了拨入服务的支持,但数据以明文方式进行传输,很不安全,不适用于安全设备。
因此,亟需提供一种适用于网络安全设备的方便、快捷又经济的“远程支持”功能。
发明内容
本发明的主要目的在于提供一种网络安全设备远程安全拨入的方法及其系统,实现对网络安全设备在安全通信基础上的方便、快捷、经济的“远程支持”功能,解决目前对安全设备的高级技术支持费用昂贵的问题。
本发明的又一目的在于提供一种网络安全设备远程安全拨入的方法及其系统,可防止信息被窃听,保障网络设备远程访问的安全。
本发明是通过以下技术方案实现的一种网络安全设备远程安全拨入的方法,至少包括步骤1网络安全设备根据远程支持功能的启动状态允许与远程服务端建立连接;步骤2远程服务端通过拨号方式与网络安全设备通信;步骤3网络安全设备与远程服务端建立PPP连接并建立加密通信隧道。
在上述的步骤1之前,与网络安全设备连接的管理终端首先对网络安全设备远程支持功能进行设定,开启或关闭该网络安全设备远程支持功能。
上述步骤1的具体处理过程具体包括步骤11判断网络安全设备的远程支持功能是否启动;如果未启动,则执行步骤14;步骤12如果网络安全设备的远程支持功能已启动,则增加一条包过滤规则,并且允许与远程服务端PPP建立连接。
步骤13打开远程拨号的侦听功能;执行步骤16;步骤14删除与远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接;步骤15关闭远程拨号的侦听功能;步骤16结束;上述步骤3的处理过程具体包括步骤31侦听远程PPP拨入请求;步骤32网络安全设备的PPP服务模块自动响应该请求,并协商身份验证协议;步骤33根据协商的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证未通过,则丢弃该拨号请求包,执行步骤31;步骤34如果验证通过,建立和远程主机的PPP连接;步骤35建立安全通信隧道;步骤36协商加密算法,进行远程登录用户身份认证;如果认证不成功,则执行步骤35;步骤37建立加密通信隧道。
上述的身份验证协议为密码鉴定协议(Password AuthenticationProtocol,简称PAP协议)或握手鉴定协议(Challenge Handshake andAuthentication Protocol,简称CHAP协议)或微软握手鉴定协议(MicroSoftChallenge Handshake and Authentication Protocol,简称MSCHAP协议);安全通信隧道至少采用点对点隧道协议(Point-to-Point TunnelingProtocol,简称PPTP协议)或第二层隧道协议(Layer 2 TunnelingProtocol,简称L2TP协议)或安全命令解释程序(Secure Shell,简称SSH)建立;建立加密通信隧道时通过RSA(Rivest-Shamir-Adleman)算法或数字签名算法(Digital Signature Algorithm,简称DSA)协议认证远程用户。
一种网络安全设备远程安全拨入的系统,至少包括管理终端、网络安全设备和远程服务端;其中,该管理终端与网络安全设备连接,用于控制该网络安全设备远程支持功能的开启或关闭;该网络安全设备连接到公共电信网,用于与远程服务端通信;该远程服务端连接到公共电信网,用于登录该网络安全设备,并提供技术支持服务。
所述的网络安全设备设有第一通信接口,管理终端通过该第一通信接口与网络安全设备连接;该网络安全设备还设有第二通信接口,该网络安全设备通过连接到该第二通信接口的设备端调制解调器连接到公共电信网。该远程服务端通过与其连接的拨入端设备调制解调器连接到公共电信网。
所述的网络安全设备的远程支持功能通过设在该网络安全设备的远程拨入PPP服务和安全登录服务模块实现。网络安全设备远程支持功能的开启或关闭,包括远程拨入PPP服务和安全登录服务模块判断管理终端设定的启动状态;如果已经启动,该模块增加一条包过滤规则,并且允许特定的远程服务端建立PPP连接,然后,打开网络安全设备的拨号侦听功能;如果不是,则删除允许特定远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接,关闭拨号侦听功能。
远程拨入PPP服务和安全登录服务模块用于对远程拨入行为进行检测,自动响应,身份验证以及建立连接;具体操作为远程拨入PPP服务和安全登录服务模块侦听PPP远程拨入请求,并自动响应该请求,然后协商采用的身份验证协议,并根据协商好的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证通过,则建立和远程服务端的PPP连接;采用相应的协议建立安全通信隧道,然后再进一步与远程服务端协商加密算法,进行远程服务端的身份认证;认证成功则建立加密通信隧道,否则重新建立安全通信隧道;如果验证不通过,则丢弃拨号请求包,继续侦听PPP远程拨入请求。
所述的身份验证协议为PAP协议或CHAP协议或MSCHAP协议;建立安全通信隧道的协议为PPTP协议或L2TP或SSH协议;建立加密通信隧道所采用的认证协议为RSA认证协议或DSA认证协议。
本发明通过实现对网络安全设备进行方便、快捷又经济的“远程支持”功能,技术支持人员不必亲临现场,减少了安全设备厂和用户的服务费用。而且,由于在本技术方案中采用了安全加密隧道进行通信,可防止信息被窃听,保证了网络安全设备的安全。
图1为本发明开启或关闭远程支持功能的流程图;图2为本发明网络安全设备与远程服务端建立PPP连接并建立加密通信隧道的流程图;图3为本发明的系统结构示意图。
具体实施例方式以下通过具体的实施例和附图对本发明做详细的说明一种网络安全设备远程安全拨入的方法,至少包括首先,管理终端与网络安全设备连接,控制该网络安全设备远程支持功能的开启或关闭。在该网络安全设备远程支持功能的开启或关闭状态下,进行以下步骤步骤1网络安全设备根据远程支持功能的启动状态允许与远程服务端建立连接;具体处理过程具体参见图1步骤11判断网络安全设备的远程支持功能是否启动;如果未启动,则执行步骤14;步骤12如果网络安全设备的远程支持功能已启动,则增加一条包过滤规则,并且允许与远程服务端PPP建立连接。
步骤13打开远程拨号的侦听功能;执行步骤16;步骤14删除与远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接;
步骤15关闭远程拨号的侦听功能;步骤16结束;步骤2远程服务端通过拨号方式与网络安全设备通信;步骤3网络安全设备与远程服务端建立PPP连接并建立加密通信隧道。
远程技术支持人员通过管理员给的合法帐号和电话号码以独占方式远程拨入网络安全设备(网络安全设备同一时间只允许一个远程拨入连接),然后自动建立一条加密通讯隧道来进行网络安全设备的访问和管理。当远程支持结束时,管理员可以关闭此功能,以保证网络安全设备的安全。具体的步骤参见图2步骤31侦听远程PPP拨入请求;步骤32网络安全设备的PPP服务模块自动响应该请求,并协商身份验证协议,是使用PAP协议,或是使用CHAP协议,或是使用MSCHAP协议;步骤33根据协商的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证未通过,则丢弃该拨号请求包,执行步骤31;步骤34如果验证通过,则建立和远程主机的PPP连接;步骤35建立安全通信隧道;步骤36协商加密算法,进行远程登录用户身份认证;如果认证不成功,则执行步骤35;步骤37建立加密通信隧道。
本发明在建立安全通信隧道时,使用以一对互补的公私数字“密钥”为基础的RSA和DSA认证协议来认证远程用户。私钥只存储在可信机器上。
一种网络安全设备远程安全拨入的系统,至少包括管理终端、网络安全设备和远程服务端;其中,网络安全设备设有第一通信接口、第二通信接口。管理终端通过该第一通信接口与网络安全设备连接,用于控制该网络安全设备远程支持功能的开启或关闭;该网络安全设备通过连接到该第二通信接口的设备端调制解调器连接到公共电信网,用于与远程服务端通信;该远程服务端通过与其连接的拨入端设备调制解调器连接到公共电信网,用于登录该网络安全设备,并提供技术支持服务。
该系统的结构图参见图3网络安全设备上的串口1与Windows超级终端连接,管理员在超级终端控制防火墙的“远程支持”功能的开启或关闭。网络安全设备上的串口2与可以自动应答的调制解调器(MODEM)连接,接收调制解调器的信号;Windows远程拨号机(远程技术支持人员一方)与调制解调器连接。其中,网络安全设备包括远程拨入PPP服务和安全登录服务模块,判断管理终端设定的启动状态;如果已经启动,该模块增加一条包过滤规则,并且允许特定的远程服务端建立PPP连接,然后,打开网络安全设备的拨号侦听功能;如果不是,则删除允许特定远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接,关闭拨号侦听功能。
远程拨入PPP服务和安全登录服务模块用于对远程拨入行为进行检测,自动响应,身份验证以及建立连接;具体如下远程拨入PPP服务和安全登录服务模块侦听PPP远程拨入请求,并自动响应该请求,然后协商采用的身份验证协议,并根据协商好的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证通过,则建立和远程服务端的PPP连接;采用相应的协议建立安全通信隧道,然后再进一步与远程服务端协商加密算法,进行远程服务端的身份认证;认证成功则建立加密通信隧道,否则重新建立安全通信隧道;如果验证不通过,则丢弃拨号请求包,继续侦听PPP远程拨入请求。
拨入用户身份验证可采用PAP、CHAP和MSCHAP等协议;登录服务器软件模块,采用点到点隧道协议(PPTP)、第二层隧道协议(L2TP)、或者SSH等协议来建立安全通信隧道的加密模块。
网络安全设备在正常工作时,网络安全设备的拨入PPP服务和安全登录服务器的侦听端口是关闭的,即远程支持功能是关闭的。网络安全设备有一条安全规则阻断所有试图访问远程登录服务端口的连接,同时,网络安全设备的串口2未接modem。只有管理员能开启“远程支持功能”。网络安全设备需要远程支持时,管理员在串口2上连接可以“自动应答”的调制解调器,在调制解调器上接电话线。将电话号码和拨入口令(即后面所称的合法账号)告诉远程技术支持人员。然后,管理员利用超级终端从防火墙的串口1登录到网络安全设备,开启该设备的远程拨入PPP服务和安全登录服务,该网络安全设备会自动添加一条安全规则,允许特定远程主机访问远程登录服务端口。
最后所应说明的是以上实施例仅用以说明本发明而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种网络安全设备远程安全拨入的方法,至少包括步骤1网络安全设备根据远程支持功能的启动状态允许与远程服务端建立连接;步骤2远程服务端通过拨号方式与网络安全设备通信;步骤3网络安全设备与远程服务端建立PPP连接并建立加密通信隧道。
2.根据权利要求1所述的网络安全设备远程安全拨入的方法,其特征在于步骤1具体包括步骤11判断网络安全设备的远程支持功能是否启动;如果未启动,则执行步骤14;步骤12如果网络安全设备的远程支持功能已启动,则增加一条包过滤规则,并且允许与远程服务端PPP建立连接。步骤13打开远程拨号的侦听功能;执行步骤16;步骤14删除与远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接;步骤15关闭远程拨号的侦听功能;步骤16结束;
3.根据权利要求1所述的网络安全设备远程安全拨入的方法,其特征在于步骤3具体包括步骤31侦听远程PPP拨入请求;步骤32网络安全设备的PPP服务模块自动响应该请求,并协商身份验证协议;步骤33根据协商的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证未通过,则丢弃该拨号请求包,执行步骤31;步骤34如果验证通过,建立和远程主机的PPP连接;步骤35则建立安全通信隧道;步骤36协商加密算法,进行远程登录用户身份认证;如果认证不成功,则执行步骤35;步骤37建立加密通信隧道。
4.根据权利要求3所述的网络安全设备远程安全拨入的方法,其特征在于所述的身份验证协议为PAP协议或CHAP协议或MSCHAP协议。
5.根据权利要求3所述的网络安全设备远程安全拨入的方法,其特征在于所述的安全通信隧道至少采用PPTP协议或L2TP协议或SSH协议建立。
6.根据权利要求3所述的网络安全设备远程安全拨入的方法,其特征在于建立加密通信隧道的具体方法为以RSA或DSA协议认证远程用户。
7.根据权利要求1所述的网络安全设备远程安全拨入的方法,其特征在于在步骤1之前,管理终端与网络安全设备连接,控制该网络安全设备远程支持功能的开启或关闭。
8.一种网络安全设备远程安全拨入的系统,其特征在于该系统至少包括管理终端、网络安全设备和远程服务端;其中,该管理终端与网络安全设备连接,用于控制该网络安全设备远程支持功能的开启或关闭;该网络安全设备连接到公共电信网,用于与远程服务端通信;该远程服务端连接到公共电信网,用于登录该网络安全设备,并提供技术支持服务。
9.根据权利要求8所述的网络安全设备远程安全拨入的系统,其特征在于所述的网络安全设备设有第一通信接口,管理终端通过该第一通信接口与网络安全设备连接;该网络安全设备还设有第二通信接口,该网络安全设备通过连接到该第二通信接口的设备端调制解调器连接到公共电信网。
10.根据权利要求8所述的网络安全设备远程安全拨入的系统,其特征在于该远程服务端通过与其连接的拨入端设备调制解调器连接到公共电信网。
11.根据权利要求8所述的网络安全设备远程安全拨入的系统,其特征在于所述的网络安全设备的远程支持功能通过设在该网络安全设备的远程拨入PPP服务和安全登录服务模块实现。
12.根据权利要求8或9或10或11所述的网络安全设备远程安全拨入的系统,其特征在于网络安全设备远程支持功能的开启或关闭包括远程拨入PPP服务和安全登录服务模块判断管理终端设定的启动状态;如果已经启动,该模块增加一条包过滤规则,并且允许特定的远程服务端建立PPP连接,然后,打开网络安全设备的拨号侦听功能;如果未启动,则删除允许特定远程服务端建立PPP连接的包过滤规则,并阻断所有PPP连接,关闭拨号侦听功能。
13.根据权利要求11所述的网络安全设备远程安全拨入的系统,其特征在于远程拨入PPP服务和安全登录服务模块用于对远程拨入行为进行检测,自动响应,身份验证以及建立连接;具体如下远程拨入PPP服务和安全登录服务模块侦听PPP远程拨入请求,并自动响应该请求,然后协商采用的身份验证协议,并根据协商好的身份验证协议对PPP拨入用户进行身份的合法性验证;如果验证通过,则建立和远程服务端的PPP连接;采用相应的协议建立安全通信隧道,然后再进一步与远程服务端协商加密算法,进行远程服务端的身份认证;认证成功则建立加密通信隧道,否则重新建立安全通信隧道;如果验证不通过,则丢弃拨号请求包,继续侦听PPP远程拨入请求。
14.根据权利要求13所述的网络安全设备远程安全拨入的系统,其特征在于所述的身份验证协议为PAP协议或CHAP协议或MSCHAP协议。
15.根据权利要求13所述的网络安全设备远程安全拨入的系统,其特征在于建立安全通信隧道的协议为PPTP协议或L2TP或SSH协议。
16.根据权利要求13所述的网络安全设备远程安全拨入的系统,其特征在于建立加密通信隧道所采用的认证协议为RSA认证协议或DSA认证协议。
全文摘要
一种网络安全设备远程安全拨入的方法及其系统,网络安全设备根据远程支持功能的启动状态允许与远程服务端建立连接;远程服务端通过拨号方式与网络安全设备通信;网络安全设备与远程服务端建立PPP连接并建立加密通信隧道。该系统至少包括管理终端与网络安全设备连接,用于控制该网络安全设备远程支持功能的开启或关闭;网络安全设备连接到公共电信网,用于与远程服务端通信;远程服务端连接到公共电信网,用于登录该网络安全设备,并提供技术支持服务。本发明实现了对网络安全设备“远程支持”功能,技术人员不亲临现场即可服务;而且,采用的安全加密隧道进行通信,防止了信息被窃听,保证了网络安全设备的安全。
文档编号H04M11/06GK1509055SQ02155688
公开日2004年6月30日 申请日期2002年12月13日 优先权日2002年12月13日
发明者刘永锋, 任增强, 刘科全 申请人:联想(北京)有限公司