專利名稱：一種在網(wǎng)關(guān)、網(wǎng)橋上實(shí)現(xiàn)用戶安全接入外網(wǎng)的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及計(jì)算機(jī)及網(wǎng)絡(luò)安全技術(shù)，尤其涉及利用網(wǎng)關(guān)、網(wǎng)橋來實(shí)現(xiàn)用戶安全接入外部不可信或互聯(lián)網(wǎng)絡(luò)的方法。
背景技術(shù)：
隨著互聯(lián)網(wǎng)和信息技術(shù)的發(fā)展和應(yīng)用，互聯(lián)網(wǎng)已經(jīng)是人們?nèi)粘９ぷ魃钪胁豢扇鄙俚牟糠?，但隨之帶來如下問題1、互聯(lián)網(wǎng)上信息良莠不齊并充滿黑客、病毒和陷阱等威脅，使用互聯(lián)網(wǎng)的用戶，簡稱“用戶”，隨時(shí)都會(huì)受到來自互聯(lián)網(wǎng)的侵犯和騷擾。
2、用戶使用互聯(lián)網(wǎng)從事與工作無關(guān)的事情，或利用互聯(lián)網(wǎng)做出違反國家法律法規(guī)的事情。
為保證用戶不經(jīng)受來自互聯(lián)網(wǎng)的侵犯，管理用戶或用戶網(wǎng)絡(luò)的安全人員通常會(huì)為用戶安全提供一系列的安全軟件以防范來自互聯(lián)網(wǎng)的威脅，如防病毒軟件、防黑客軟件和防騷擾信息軟件等；為保證用戶不使用互聯(lián)網(wǎng)從事與工作無關(guān)的事情，不使用互聯(lián)網(wǎng)做出違反國家法律法規(guī)的事情，安全人員會(huì)通知用戶或直接為用戶安裝一系列的監(jiān)控、過濾、記錄軟件以防止用戶發(fā)生此類行為。
但上述軟件不是用戶連接互聯(lián)網(wǎng)的必要軟件，在沒有上述軟件、配置(或軟件信息未升級(jí))的情況下，用戶同樣可以連接并使用互聯(lián)網(wǎng)，此時(shí)用戶將仍會(huì)受到來自互聯(lián)網(wǎng)的威協(xié)及騷擾，且還可利用互聯(lián)網(wǎng)從事與工作無關(guān)的事情或違反國家法律法規(guī)的非法行為。

發(fā)明內(nèi)容
本發(fā)明需要解決的技術(shù)問題是，如何確保用戶在上網(wǎng)時(shí)其設(shè)備上運(yùn)行了恰當(dāng)軟件并作好了正確設(shè)置，完全符合網(wǎng)絡(luò)管理人員的要求。
本發(fā)明上述技術(shù)問題這樣解決，提供一種在網(wǎng)關(guān)、網(wǎng)橋上實(shí)現(xiàn)用戶安全接入外網(wǎng)的方法，采用安全網(wǎng)關(guān)或安全網(wǎng)橋連接內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)的結(jié)構(gòu)，包括以下步驟1.1)請(qǐng)求用戶向安全網(wǎng)關(guān)或安全網(wǎng)橋請(qǐng)求連接外部不可信網(wǎng)絡(luò)的資源；1.2)安全檢查檢查安全網(wǎng)關(guān)或安全網(wǎng)橋內(nèi)是否存在該用戶記錄，否，若所述資源為WEB資源，則啟動(dòng)對(duì)該用戶軟件環(huán)境及配置的安全掃描，若掃描通過則記錄該結(jié)果和該用戶，并指定自動(dòng)失效時(shí)間；1.3)允許或拒絕請(qǐng)求根據(jù)所述記錄或所述掃描通過的結(jié)果和滿足安全網(wǎng)關(guān)或安全網(wǎng)橋?qū)ν獠坎豢尚啪W(wǎng)絡(luò)資源類型的安全設(shè)定來允許所述請(qǐng)求；否則，拒絕所述請(qǐng)求。
按照本發(fā)明提供的方法，所述安全設(shè)定可為允許訪問WEB資源，而攔截對(duì)其他一部分網(wǎng)絡(luò)資源的請(qǐng)求。
按照本發(fā)明提供的方法，所述內(nèi)部可信網(wǎng)絡(luò)內(nèi)存儲(chǔ)用戶可訪問的WEB安全掃描程序，所述步驟1.1)中資源為WEB資源，所述步驟1.2)中安全掃描使用所述WEB安全掃描程序，包括以下步驟1.2.1)重定向用戶請(qǐng)求，強(qiáng)制用戶訪問所述WEB安全掃描程序；1.2.2)用戶自動(dòng)調(diào)用所述WEB安全掃描程序掃描自身設(shè)備的軟件環(huán)境及配置并輸出掃描結(jié)果；1.2.3)將所述掃描結(jié)果轉(zhuǎn)送給所述安全網(wǎng)關(guān)或安全網(wǎng)橋。
按照本發(fā)明提供的方法，該方法還包括主動(dòng)請(qǐng)求安全檢查，具體步驟如下3.1)用戶自行訪問所述WEB安全掃描程序?qū)?yīng)的WEB頁面；3.2)調(diào)用所述WEB安全掃描程序掃描自身設(shè)備的軟件環(huán)境及配置并輸出掃描結(jié)果；3.3)將所述掃描結(jié)果轉(zhuǎn)送給所述安全網(wǎng)關(guān)或安全網(wǎng)橋；3.4)若掃描通過，則所述安全網(wǎng)關(guān)或安全網(wǎng)橋記錄該結(jié)果和該用戶，并指定自動(dòng)失效時(shí)間。
按照本發(fā)明提供的方法，所述自動(dòng)失效時(shí)間可以是但不限制是5分鐘至一星期。
本發(fā)明提供的在網(wǎng)關(guān)、網(wǎng)橋上實(shí)現(xiàn)用戶安全接入外網(wǎng)的方法，通過用戶請(qǐng)求接入外部非信任網(wǎng)絡(luò)時(shí)，由網(wǎng)關(guān)、網(wǎng)橋啟動(dòng)對(duì)用戶設(shè)備上的運(yùn)行軟件及其配置的檢查，審查通過才允許接入，使得用戶在指定軟件保護(hù)和監(jiān)控下接入外部網(wǎng)絡(luò)和互聯(lián)網(wǎng)，從而獲得必要的安全保護(hù)，也可受到網(wǎng)絡(luò)管理人員必要的監(jiān)控。


下面結(jié)合附圖和具體實(shí)施例進(jìn)一步對(duì)本發(fā)明進(jìn)行詳細(xì)說明。
圖1是本發(fā)明提供的網(wǎng)絡(luò)連接示意圖。
圖2是圖1中內(nèi)部網(wǎng)絡(luò)用戶設(shè)備訪問安全網(wǎng)關(guān)另一側(cè)外部網(wǎng)絡(luò)(不可信區(qū)域或互聯(lián)網(wǎng))的上網(wǎng)流程示意圖。
具體實(shí)施例方式
本發(fā)明思想是在用戶可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間，該不可信網(wǎng)絡(luò)通常是指互聯(lián)網(wǎng)Internet，提供一種網(wǎng)絡(luò)準(zhǔn)入規(guī)則，即用戶從可信網(wǎng)絡(luò)訪問不可信網(wǎng)絡(luò)時(shí)，需要通過網(wǎng)關(guān)、網(wǎng)橋?qū)τ脩羯暇W(wǎng)的終端，該終端通常是指計(jì)算機(jī)，做安全掃描以檢查網(wǎng)絡(luò)安全人員對(duì)用戶上網(wǎng)的終端所設(shè)置的安全配置及相關(guān)的安全軟件是否存在并正常運(yùn)行，如果用戶上網(wǎng)的終端所設(shè)置的安全配置及相關(guān)的安全軟件已經(jīng)正常運(yùn)行，則允許該用戶連接、使用不可信網(wǎng)絡(luò)，否則拒絕該用戶請(qǐng)求連接、使用不可信網(wǎng)絡(luò)。
本發(fā)明用戶安全使用網(wǎng)絡(luò)的工作原理是第一步，在終端用戶的內(nèi)部可信網(wǎng)絡(luò)與外部不可信網(wǎng)絡(luò)之間，加入該安全網(wǎng)關(guān)、網(wǎng)橋設(shè)備，使用戶從內(nèi)部可信網(wǎng)絡(luò)連接、使用外部不可信網(wǎng)絡(luò)的數(shù)據(jù)經(jīng)過此設(shè)備。
第二步，當(dāng)用戶請(qǐng)求連接、使用外部不可信網(wǎng)絡(luò)時(shí)，網(wǎng)關(guān)或網(wǎng)橋上網(wǎng)絡(luò)安全設(shè)置需要先通過WEB方式或安全的WEB方式(HTTP協(xié)議或HTTPS協(xié)議)對(duì)用戶的上網(wǎng)終端做安全掃描，以確認(rèn)用戶上網(wǎng)終端的配置及軟件環(huán)境符合網(wǎng)絡(luò)安全人員設(shè)置的條件。如果用戶上網(wǎng)終端的配置及軟件環(huán)境不符合網(wǎng)絡(luò)安全人員所設(shè)置的安全條件，則拒絕該用戶連接、使用外部不可信網(wǎng)絡(luò)，并且安全網(wǎng)關(guān)、網(wǎng)橋?qū)⒋诵畔?bào)告給網(wǎng)絡(luò)安全人員，以便網(wǎng)絡(luò)安全人員進(jìn)行維護(hù)。
第三步，安全網(wǎng)關(guān)、網(wǎng)橋使用WEB方式或安全的WEB方式對(duì)終端用戶的終端設(shè)備進(jìn)行掃描，具體如下1)終端用戶未通過安全掃描而請(qǐng)求外部不可信網(wǎng)絡(luò)的WEB資源時(shí)，安全網(wǎng)關(guān)、網(wǎng)橋拒絕訪問但啟動(dòng)安全掃描；若請(qǐng)求外部不可信網(wǎng)絡(luò)的其他網(wǎng)絡(luò)資源時(shí)，安全網(wǎng)關(guān)、網(wǎng)橋拒絕訪問且不啟動(dòng)安全掃描。終端用戶通過安全掃描而請(qǐng)求連接外部不可信網(wǎng)絡(luò)的WEB資源時(shí)，允許該請(qǐng)求；請(qǐng)求外部不可信網(wǎng)絡(luò)的其他網(wǎng)絡(luò)資源時(shí)，還須根據(jù)安全網(wǎng)關(guān)、網(wǎng)橋?qū)ν獠坎豢尚啪W(wǎng)絡(luò)資源類型的具體安全設(shè)定來決定是否允許該請(qǐng)求。
2)終端用戶未通過安全掃描，具體安全掃描過程是終端用戶請(qǐng)求連接外部不可信網(wǎng)絡(luò)WEB資源時(shí)，被強(qiáng)制重定向至安全網(wǎng)關(guān)、網(wǎng)橋?qū)K端設(shè)備進(jìn)行掃描的WEB頁面并自動(dòng)開始掃描，當(dāng)掃描通過時(shí)，允許該用戶在一段時(shí)間內(nèi)正常使用、訪問外部不可信網(wǎng)絡(luò)的資源。
3)終端用戶客人主動(dòng)請(qǐng)求安全掃描，具體過程是終端用戶自行訪問安全網(wǎng)關(guān)、網(wǎng)橋?qū)K端設(shè)備進(jìn)行掃描的WEB頁面，并自動(dòng)開始掃描，當(dāng)掃描通過時(shí)，允許該用戶在一段時(shí)間內(nèi)正常使用、訪問外部不可信網(wǎng)絡(luò)的資源。
進(jìn)一步，本發(fā)明具體網(wǎng)絡(luò)，結(jié)構(gòu)如圖1所示，用戶終端分布在內(nèi)部可信網(wǎng)絡(luò)1中，通過安全網(wǎng)關(guān)或網(wǎng)橋2連接外部不可信網(wǎng)絡(luò)，使用戶從內(nèi)部可信網(wǎng)絡(luò)連接、使用外部不可信網(wǎng)絡(luò)(主要指互聯(lián)網(wǎng))的數(shù)據(jù)經(jīng)過此設(shè)備。
本發(fā)明內(nèi)部網(wǎng)絡(luò)用戶設(shè)備訪問安全網(wǎng)關(guān)或安全網(wǎng)橋另一側(cè)外部網(wǎng)絡(luò)的上網(wǎng)流程，具體如圖2所示，包括以下步驟201)開始；202)用戶通過用戶設(shè)備上網(wǎng)，該用戶設(shè)備試圖通過安全網(wǎng)關(guān)或安全網(wǎng)橋訪問不可信網(wǎng)絡(luò)，向安全網(wǎng)關(guān)或安全網(wǎng)橋發(fā)出請(qǐng)求；203)查詢安全網(wǎng)關(guān)或安全網(wǎng)橋中的記錄，判定該用戶是否在一段時(shí)間內(nèi)已通過安全掃描？存在記錄，進(jìn)入步驟2072；不存在記錄，進(jìn)入下一步；204)重定向用戶設(shè)備的訪問請(qǐng)求，強(qiáng)制用戶設(shè)備訪問安全網(wǎng)關(guān)指定的WEB安全掃描程序；
205)使用安全網(wǎng)關(guān)指定的WEB程序?qū)τ脩粼O(shè)備做安全掃描；206)上述WEB程序自動(dòng)判定用戶設(shè)備運(yùn)行的軟件及其配置是否符合管理員所制定的安全策略？是，進(jìn)入步驟2072；否，進(jìn)入下一步；2071)阻止該用戶設(shè)備的訪問請(qǐng)求，拒絕用戶上網(wǎng)請(qǐng)求，轉(zhuǎn)入步驟208；2072)允許該用戶設(shè)備在指定一段時(shí)間內(nèi)的訪問請(qǐng)求，允許用戶上網(wǎng)，并在安全網(wǎng)關(guān)或安全網(wǎng)橋中記錄該用戶設(shè)備，且設(shè)定自動(dòng)失效時(shí)間，該自動(dòng)失效時(shí)間可以是5～30分鐘。
208)結(jié)束。
權(quán)利要求
1.一種在網(wǎng)關(guān)、網(wǎng)橋上實(shí)現(xiàn)用戶安全接入外網(wǎng)的方法，采用安全網(wǎng)關(guān)或安全網(wǎng)橋連接內(nèi)部可信網(wǎng)絡(luò)和外部不可信網(wǎng)絡(luò)的結(jié)構(gòu)，包括以下步驟1.1)請(qǐng)求用戶向安全網(wǎng)關(guān)或安全網(wǎng)橋請(qǐng)求連接外部不可信網(wǎng)絡(luò)的資源；1.2)安全檢查檢查安全網(wǎng)關(guān)或安全網(wǎng)橋內(nèi)是否存在該用戶記錄，否，若所述資源為WEB資源，則啟動(dòng)對(duì)該用戶軟件環(huán)境及配置的安全掃描，若掃描通過則記錄該結(jié)果和該用戶，并指定自動(dòng)失效時(shí)間；1.3)允許或拒絕請(qǐng)求根據(jù)所述記錄或所述掃描通過的結(jié)果和滿足安全網(wǎng)關(guān)或安全網(wǎng)橋?qū)ν獠坎豢尚啪W(wǎng)絡(luò)資源類型的安全設(shè)定來允許所述請(qǐng)求；否則，拒絕所述請(qǐng)求。
2.根據(jù)權(quán)利要求1所述方法，其特征在于，所述內(nèi)部可信網(wǎng)絡(luò)內(nèi)存儲(chǔ)用戶可訪問的WEB安全掃描程序，所述步驟1.1)中資源為WEB資源，所述步驟1.2)中安全掃描使用所述WEB安全掃描程序，包括以下步驟1.2.1)重定向用戶請(qǐng)求，強(qiáng)制用戶訪問所述WEB安全掃描程序；1.2.2)用戶自動(dòng)調(diào)用所述WEB安全掃描程序掃描自身設(shè)備的軟件環(huán)境及配置并輸出掃描結(jié)果；1.2.3)將所述掃描結(jié)果轉(zhuǎn)送給所述安全網(wǎng)關(guān)或安全網(wǎng)橋。
3.根據(jù)權(quán)利要求1或2所述方法，其特征在于，該方法還包括主動(dòng)請(qǐng)求安全檢查，具體步驟如下3.1)用戶訪問所述WEB安全掃描程序?qū)?yīng)的WEB頁面；3.2)調(diào)用所述WEB安全掃描程序掃描自身設(shè)備的軟件環(huán)境及配置并輸出掃描結(jié)果；3.3)將所述掃描結(jié)果轉(zhuǎn)送給所述安全網(wǎng)關(guān)或安全網(wǎng)橋；3.4)若掃描通過則記錄該結(jié)果和該用戶，并指定自動(dòng)失效時(shí)間。
4.根據(jù)權(quán)利要求1所述方法，其特征在于，所述自動(dòng)失效時(shí)間可以是5分鐘至一星期。
全文摘要
本發(fā)明涉及了一種在網(wǎng)關(guān)、網(wǎng)橋上實(shí)現(xiàn)用戶安全上網(wǎng)的方法，采用安全網(wǎng)關(guān)或網(wǎng)橋連接內(nèi)網(wǎng)和外網(wǎng)的結(jié)構(gòu)，包括1.1)用戶向安全網(wǎng)關(guān)或網(wǎng)橋請(qǐng)求連接外網(wǎng)；1.2)檢查安全網(wǎng)關(guān)或網(wǎng)橋內(nèi)是否存在該用戶記錄，否，若資源為WEB資源，則啟動(dòng)安全掃描，若掃描通過則記錄該結(jié)果和用戶，并指定自動(dòng)失效時(shí)間；1.3)根據(jù)所述記錄或掃描通過的結(jié)果和滿足安全網(wǎng)關(guān)或網(wǎng)橋?qū)ν饩W(wǎng)資源類型的安全設(shè)定來允許所述請(qǐng)求；否則，拒絕所述請(qǐng)求。這種方法，通過用戶請(qǐng)求接入外部非信任網(wǎng)絡(luò)時(shí)，由網(wǎng)關(guān)、網(wǎng)橋啟動(dòng)對(duì)用戶設(shè)備上的運(yùn)行軟件及其配置的檢查，審查通過才允許接入，使得用戶在指定軟件保護(hù)和監(jiān)控下接入外部網(wǎng)絡(luò)和互聯(lián)網(wǎng)，從而獲得必要的安全保護(hù)，也可受到網(wǎng)絡(luò)管理人員必要的監(jiān)控。
文檔編號(hào)H04L12/28GK1744515SQ20051003745
公開日2006年3月8日 申請(qǐng)日期2005年9月26日 優(yōu)先權(quán)日2005年9月26日
發(fā)明者郭棟梓 申請(qǐng)人:深圳市深信服電子科技有限公司