[发明专利]安全认证网关

说明书

技术领域：

本发明涉及一种网络安全技术，特别涉及一种用于提高网络安全的网关。

背景技术：

随着网络的快速发展，网络应用以其高效、便捷的特点得到广泛应用，如网上证券、网上银行、电子政务、电子商务、企业远程办公等。越来越多的重要业务在网上办理，越来越多的重要信息在网络中传输，如何保护这些重要资源的安全访问以及重要数据的安全流转是网络应用面临的重要问题，但通常的网络应用都存在以下安全隐患：

没有有效的身份认证机制：一般都采用用户名+口令的弱认证方式，这种认证用户的模式，存在极大的隐患，具体表现在：(a)口令易被猜测；(b)口令在公网中传输，容易被截获；(c)一旦口令泄密，所有安全机制即失效；(d)后台服务系统需要维护庞大的用户口令列表并负责口令保存的安全，管理非常困难。

数据传输不安全：当前大多网络应用所发放的数据包均是按照TCP/IP协议为明文方式传输，而Internet的开放性造成传输信息存在着被窃听、被篡改的安全问题。

操作抵赖：网络应用将现实世界的实体操作转化为虚拟世界的信息流，信息流的可复制性对操作的唯一性和可信性提出了挑战，操作可以被抵赖成为网络应用亟需解决的一个严重问题。

SSL协议的推出为我们提供了这种安全机制。标准的SSL连接能在用户的浏览器和WEB服务器之间建立一条128位的加密通道，来保证信息传输的安全。但是一般SSL连接存在以下问题：

1、应用无法获得访问用户的数字证书信息：一般的SSL连接只能提供对用户的证书的验证、对传输数据加密，但不能从数字证书中解析用户信息(用户名、身份证、用户单位等)，因此应用不能根据证书信息对用户进行更细微的身份认证或进行二次开发。

2、对访问的用户、访问的时间、访问的客户端IP、访问的资源等没有一个有效的日志记录和审计功能。

3、一般的SSL安全连接服务与应用本身的服务安装在同一台服务器上，因SSL安全连接服务本身的加解密运算大量的占用了服务器CPU资源，从而使得应用本身运算的CPU资源缺乏而造成处理的效率极大降低。

4、单一的针对HTTP的保护：由于SSL协议的局限性，一般的SSL只能将HTTP改造成HTTPS，而对其它的各种TCP/IP协议无效，即只能应用于B/S架构而无法应用于C/S架构的网络传输。

发明内容：

本发明针对上述现有网络所存在的安全隐患，提供一种安全认证网关，该网关基于数字证书的高强度身份认证服务、高强度数据链路加密服务、数字签名及验证服务，可以有效保护网络资源的安全访问，并支持HTTP、HTTPS的B/S应用以及FTP、远程桌面等通用的C/S应用。

为了达到上述目的，本发明采用如下的技术方案：

安全认证网关，该网关包括客户端密码模块、客户端业务模块、服务端业务模块和服务端密码模块，所述客户端业务模块作为应用客户端的代理，与服务端业务模块交互建立加密连接；所述客户端密码模块作为证书存放介质及算法提供者，受客户端业务模块调用完成相应的证书操作和密码运算；所述服务端业务模块负责接受客户端业务模块的连接，处理SSL协议，使用双证书完成身份认证和密钥交换，指定加密算法，与客户端业务模块建立安全加密通道，将接收来的数据解密发送给应用服务器，将应用服务器的响应数据加密后发送给客户端业务模块，由客户端业务模块反映给客户端；所述服务端密码模块作为证书存放介质及算法提供者，受服务端业务模块调用完成相应的证书操作和密码运算。

所述客户端业务模块包含配置模块，代理模块，加密连接模块，客户端密码服务模块，日志模块；所述代理模块接受客户端连接，根据客户端连接的类型进行相应处理，形成应用客户端的代理连接；所述加密连接模块调用客户端密码服务模块，完成与服务端业务模块的加密连接；所述配置模块负责读取、存储客户端的相关配置；所述日志模块记录客户端业务模块中各模块的日志；所述客户端密码服务模块调用客户端密码模块，向加密连接模块提供密码服务。