專利名稱:非現(xiàn)場行業(yè)安全網(wǎng)絡(luò)構(gòu)架的制作方法
技術(shù)領(lǐng)域:
本實用新型屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�,尤其是為涉密、金融����、大額電子交易等非現(xiàn)場 行業(yè)的移動交易�����、移動支付�、非?����,F(xiàn)場辦公等提供專業(yè)信息保護(hù)的網(wǎng)絡(luò)安全構(gòu)架�。
背景技術(shù):
網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全,經(jīng)過多年的應(yīng)用與發(fā)展以及人 們對網(wǎng)絡(luò)軟硬件技術(shù)認(rèn)識的深入�,網(wǎng)絡(luò)安全已超過對網(wǎng)絡(luò)可靠性、交換能力和服務(wù)質(zhì)量的 要求�����,成為企業(yè)及個人用戶在在線交易���、支付等過程中最為關(guān)心的問題����。但目前在涉密行 業(yè)�����,特別是金融服務(wù)領(lǐng)域,個人終端用戶往往是以電腦及手持終端通過公網(wǎng)接入到后臺服 務(wù)系統(tǒng)�����,其連接過程缺乏相應(yīng)的網(wǎng)絡(luò)保護(hù)機制�,專業(yè)應(yīng)用信息與公眾應(yīng)用信息走在同一條 通道中,使得當(dāng)出現(xiàn)公網(wǎng)網(wǎng)絡(luò)端口故障時����,專業(yè)應(yīng)用也無法接入;同時���,專業(yè)應(yīng)用信息和公 眾網(wǎng)絡(luò)信息無法隔離���,目前的金融證券應(yīng)用又缺乏健全的數(shù)字加密和身份認(rèn)證機制�,因此 個人用戶的個人信息及交易信息的安全性也無法得到保障。從用戶(個人����、企業(yè))的角度出發(fā),他們希望涉及個人隱私或商業(yè)利益的信息在網(wǎng) 絡(luò)上傳輸時受到機密性��、完整性和真實性的保護(hù),避免其他人或?qū)κ掷酶`聽�����、冒充�����、篡改��、 抵賴等手段侵犯用戶的利益和隱私�����。而從網(wǎng)絡(luò)運行和管理者角度出發(fā)����,他們希望對本地網(wǎng) 絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制��,避免出現(xiàn)“陷門”��、病毒�、非法存取、拒絕服務(wù)和 網(wǎng)絡(luò)資源非法占用和非法控制等威脅�����,制止和防御網(wǎng)絡(luò)黑客的攻擊。涉密��、金融等非現(xiàn)場行業(yè)其未來的發(fā)展方向必然是需要建立一個與公網(wǎng)隔離的更 加注重網(wǎng)絡(luò)安全性及可靠性的專業(yè)性金融綠網(wǎng)����,從而實現(xiàn)基于安全專網(wǎng)和無線通信(3G) 技術(shù)的非現(xiàn)場行業(yè)應(yīng)用。
發(fā)明內(nèi)容本實用新型所要解決的問題就是針對現(xiàn)有涉密���、金融等非現(xiàn)場行業(yè)在網(wǎng)絡(luò)通信過 程中缺乏相應(yīng)網(wǎng)絡(luò)保護(hù)機制的缺點��,同時克服點對點的獨家性的局域網(wǎng)缺點�,建立一個安 全的共用性專網(wǎng)����,提供一種非現(xiàn)場行業(yè)安全網(wǎng)絡(luò)構(gòu)架,通過定制的專業(yè)終端和健全的后臺 認(rèn)證機制來建立較高安全級別的身份認(rèn)證體系��,在身份識別的基礎(chǔ)上建立VIP客戶服務(wù)智 能維護(hù)管理系統(tǒng)����。為解決上述技術(shù)問題���,本實用新型采用如下技術(shù)方案非現(xiàn)場行業(yè)安全網(wǎng)絡(luò)構(gòu)架����, 包括骨干網(wǎng)、企業(yè)后臺服務(wù)端�、用戶終端,其特征在于還包括位于骨干網(wǎng)內(nèi)的網(wǎng)絡(luò)接入認(rèn) 證模塊�����、提供給用戶的應(yīng)用網(wǎng)絡(luò)服務(wù)器����,所述網(wǎng)絡(luò)接入認(rèn)證模塊與應(yīng)用網(wǎng)絡(luò)服務(wù)器之間建 立第二層隧道協(xié)議實現(xiàn)專業(yè)網(wǎng)與公眾網(wǎng)的傳輸隔離;所述應(yīng)用網(wǎng)絡(luò)服務(wù)器通過虛擬專用網(wǎng) 與企業(yè)后臺服務(wù)端的企業(yè)內(nèi)網(wǎng)互聯(lián)�����;所述企業(yè)后臺服務(wù)端設(shè)置遠(yuǎn)程撥號認(rèn)證系統(tǒng)用于判斷 用戶終端的用戶是否有接入企業(yè)內(nèi)網(wǎng)的權(quán)限����;所述用戶終端內(nèi)設(shè)有用于存儲專業(yè)網(wǎng)信息的 第一存貯單元以及用于存儲公眾網(wǎng)信息的第二存貯單元,其中第一存貯單元接入骨干網(wǎng)的 網(wǎng)絡(luò)接入認(rèn)證模塊�,實現(xiàn)專業(yè)網(wǎng)絡(luò)運行與公眾網(wǎng)絡(luò)運行的物理隔離。[0007]進(jìn)一步的�����,所述用戶終端的第一存貯單元通過虛擬專用撥號網(wǎng)接入骨干網(wǎng)的網(wǎng)絡(luò) 接入認(rèn)證模塊,網(wǎng)絡(luò)接入認(rèn)證模塊內(nèi)設(shè)置分組業(yè)務(wù)數(shù)據(jù)節(jié)點實現(xiàn)用戶到骨干網(wǎng)內(nèi)AAA服務(wù) 器的認(rèn)證�、授權(quán)、計費�����。進(jìn)一步的����,所述應(yīng)用網(wǎng)絡(luò)服務(wù)器內(nèi)設(shè)有與企業(yè)后臺服務(wù)端一一對應(yīng)的虛擬路由 器,虛擬路由器內(nèi)設(shè)有兩個IP地址池��,通過骨干網(wǎng)內(nèi)服務(wù)商邊緣路由器的訪問控制列表使 其中一 IP地址池只能訪問其所在虛擬路由器對應(yīng)的企業(yè)后臺服務(wù)端�����,另一 IP地址池可以 訪問所用企業(yè)后臺服務(wù)端���。進(jìn)一步的���,所述應(yīng)用網(wǎng)絡(luò)服務(wù)器中不同的虛擬路由器具有不同的認(rèn)證服務(wù)器地址。進(jìn)一步的��,所述應(yīng)用網(wǎng)絡(luò)服務(wù)器根據(jù)遠(yuǎn)程撥號認(rèn)證系統(tǒng)反饋的判斷結(jié)果來執(zhí)行后 續(xù)操作�����。進(jìn)一步的�����,所述第一存貯單元內(nèi)設(shè)有管理專業(yè)應(yīng)用信息的第一操作系統(tǒng)��,第二存 貯單元內(nèi)設(shè)有管理公眾應(yīng)用信息的第二操作系統(tǒng)�����。進(jìn)一步的����,所述第一操作系統(tǒng)只與安全專網(wǎng)建立連接,所述第二操作系統(tǒng)只與公 網(wǎng)建立連接�。進(jìn)一步的,所述用戶終端分配有唯一的認(rèn)證帳號與密碼�����,該認(rèn)證帳號與企業(yè)后臺 服務(wù)端構(gòu)成數(shù)字化的身份認(rèn)證系統(tǒng)��,所述企業(yè)后臺服務(wù)端根據(jù)用戶身份信息開通設(shè)置對應(yīng) 的接入權(quán)限及操作權(quán)限。進(jìn)一步的�����,所述用戶終端還設(shè)有專網(wǎng)必須的外接式的移動數(shù)字證書用于數(shù)字加 密���。用戶的個人信息和交易信息在傳輸過程中得到安全防護(hù)����,只有經(jīng)過授權(quán)的服務(wù)進(jìn)程才 能夠通過解密獲取用戶的這些重要信息��。進(jìn)一步的����,所述用戶終端還設(shè)有非接觸式的自動識別系統(tǒng)。該系統(tǒng)的ID號與用戶 終端號碼�、身份、移動支付帳戶綁定��,能夠?qū)崿F(xiàn)用戶在移動支付����、現(xiàn)場身份識別的應(yīng)用。本實用新型的有益效果通過上述方案,本實用新型實現(xiàn)了專業(yè)應(yīng)用信息與公眾 應(yīng)用信息的傳輸隔離以及在應(yīng)用層�����、存儲空間上的物理隔離��,這使得用戶的專業(yè)應(yīng)用操作 及其專業(yè)應(yīng)用信息可以獨立地接入企業(yè)后臺服務(wù)端��,為用戶個人信息及交易信息的安全性 提供最為基本的保障��;用戶終端則分配了唯一的認(rèn)證帳號與密碼��,該認(rèn)證帳號與企業(yè)后臺 服務(wù)端構(gòu)成數(shù)字化的身份認(rèn)證系統(tǒng)�����,用戶自建的應(yīng)用網(wǎng)絡(luò)服務(wù)器與企業(yè)后臺服務(wù)端構(gòu)成完 全的認(rèn)證機制�����,以便建立高級別的身份認(rèn)證系統(tǒng)�;用戶終端還采用了外接式的移動數(shù)字證 書用于數(shù)字加密���,只有授權(quán)方才能獲得密鑰����,進(jìn)行解碼和信息獲取,實現(xiàn)了交易系統(tǒng)密鑰與 用戶終端設(shè)備的物理分離��,真正的軟件加密和硬件加密同步進(jìn)行��,為用戶在涉密����、金融等非 現(xiàn)場行業(yè)的移動交易、移動支付提供最為完整����、真實的專業(yè)信息保護(hù)。
以下結(jié)合附圖對本實用新型作進(jìn)一步的說明
圖1為本實用新型的網(wǎng)絡(luò)構(gòu)架示意圖�����。
具體實施方式
如圖1所示�,本實用新型非現(xiàn)場行業(yè)安全網(wǎng)絡(luò)構(gòu)架的一個實施例[0020]網(wǎng)絡(luò)側(cè)的解決方案如下包括骨干網(wǎng)4、企業(yè)后臺服務(wù)端�����、用戶終端1����、位于骨干網(wǎng) 4內(nèi)的網(wǎng)絡(luò)接入認(rèn)證模塊2以及提供給用戶的應(yīng)用網(wǎng)絡(luò)服務(wù)器(LNS) 3��,所述網(wǎng)絡(luò)接入認(rèn)證 模塊2與應(yīng)用網(wǎng)絡(luò)服務(wù)器(LNS) 3之間建立第二層隧道協(xié)議(L2TP)實現(xiàn)專業(yè)網(wǎng)與公眾網(wǎng) 的傳輸隔離�;所述應(yīng)用網(wǎng)絡(luò)服務(wù)器(LNQ3通過虛擬專用網(wǎng)(VPN)與企業(yè)后臺服務(wù)端的企 業(yè)內(nèi)網(wǎng)互聯(lián)��;所述企業(yè)后臺服務(wù)端設(shè)置遠(yuǎn)程撥號認(rèn)證系統(tǒng)(RADIUS)用于判斷用戶終端的 用戶是否有接入企業(yè)內(nèi)網(wǎng)的權(quán)限�����;其中的企業(yè)后臺服務(wù)端包括了 A證券公司后臺服務(wù)端5����、 B證券公司后臺服務(wù)端6�,當(dāng)然也可以包括其他金融領(lǐng)域的企業(yè),譬如銀行�、電子商務(wù)、政務(wù) 等�,不同的證券公司采用域名也不相同;用戶終端1可以是臺式機�、筆記本電腦、手持通訊 設(shè)備��,用戶終端1還可以是其它具備有網(wǎng)絡(luò)接入功能的網(wǎng)絡(luò)設(shè)備�。用戶終端首先需要通過虛擬專用撥號網(wǎng)(VPDN)接入骨干網(wǎng)4的網(wǎng)絡(luò)接入認(rèn)證模 Ife 2,這里的骨干網(wǎng)4采用了 CN2 (Chinatelecom Next Carrier Network,中國電信下一代 承載網(wǎng)絡(luò))��,也可以采用其他供應(yīng)商所擁有的它們自己的骨干網(wǎng)4 �����;網(wǎng)絡(luò)接入認(rèn)證模塊2內(nèi) 設(shè)置分組業(yè)務(wù)數(shù)據(jù)節(jié)點(PDSN)實現(xiàn)用戶到骨干網(wǎng)4內(nèi)AAA服務(wù)器的認(rèn)證����、授權(quán)、計費�。在 應(yīng)用網(wǎng)絡(luò)服務(wù)器(LNS) 3內(nèi)設(shè)有與A證券公司后臺服務(wù)端5、B證券公司后臺服務(wù)端6—一 對應(yīng)的虛擬路由器(VR)����,每個虛擬路由器(VR)內(nèi)設(shè)有兩個IP地址池,其中一 IP地址池只 能訪問其所在虛擬路由器(VR)對應(yīng)的企業(yè)后臺服務(wù)端�,另一 IP地址池則可以訪問所用企 業(yè)后臺服務(wù)端,這個功能通過骨干網(wǎng)4內(nèi)服務(wù)商邊緣路由器(PE)的訪問控制列表(ACL)來 實現(xiàn)�;同時,在用戶自建的應(yīng)用網(wǎng)絡(luò)服務(wù)器(LNS)3中不同的虛擬路由器(VR)具有不同的 RADIUS認(rèn)證服務(wù)器地址����,應(yīng)用網(wǎng)絡(luò)服務(wù)器(LNQ 3根據(jù)遠(yuǎn)程撥號認(rèn)證系統(tǒng)(RADIUQ返還的 判斷結(jié)果來執(zhí)行后續(xù)操作。上述的種種功能可以通過以下一個具體的撥號認(rèn)證過程來解釋說明1�、證券公司A的用戶通過虛擬專用撥號網(wǎng)(VPDN)接入CN2骨干網(wǎng)4的網(wǎng)絡(luò)接入 認(rèn)證模塊2���,用戶輸入帳號及密碼,PDSN根據(jù)用戶域名建立網(wǎng)絡(luò)接入認(rèn)證模塊2到應(yīng)用網(wǎng)絡(luò) 服務(wù)器(LNS) 3之間的(L2TP)隧道�;2、應(yīng)用網(wǎng)絡(luò)服務(wù)器(LNS) 3根據(jù)用戶域名將用戶的帳號及密碼傳送至證券公司A 的遠(yuǎn)程撥號認(rèn)證系統(tǒng)(RADIUS)���,(RADIUS)根據(jù)用戶信息將判斷結(jié)果以及IP地址池屬性反 饋給應(yīng)用網(wǎng)絡(luò)服務(wù)器(LNS) 3 �;3�、應(yīng)用網(wǎng)絡(luò)服務(wù)器(LNS)3根據(jù)(RADIUS)的判斷結(jié)果完成以下情況的操作a)認(rèn)證不通過通知PDSN拆線,用戶撥號失?�?��;b)認(rèn)證通過建立連接并根據(jù)(RADIUS)判斷結(jié)果內(nèi)的地址池屬性分配用戶的IP 地址。通過上述撥號認(rèn)證過程可以看出�,用戶賬號的認(rèn)證工作其實是由用戶自行完成。終端側(cè)的解決方案如下在用戶終端1內(nèi)設(shè)置了用于存儲專業(yè)網(wǎng)信息的第一存貯單元12以及用于存儲公 眾網(wǎng)信息的第二存貯單元13���,第一存貯單元12內(nèi)設(shè)有管理專業(yè)應(yīng)用信息的第一操作系統(tǒng)�, 第二存貯單元13內(nèi)設(shè)有管理公眾應(yīng)用信息的第二操作系統(tǒng)�;第一操作系統(tǒng)只與企業(yè)專網(wǎng) 建立連接,而第二操作系統(tǒng)只與公網(wǎng)建立連接��。專業(yè)應(yīng)用和普通公眾應(yīng)用采用兩個操作系 統(tǒng),兩種應(yīng)用信息�、操作系統(tǒng)及程序存儲在兩個不同的物理硬盤上,進(jìn)程也駐留來不同的內(nèi) 存中����,同時要求用于專業(yè)應(yīng)用的操作系統(tǒng)只能建立專網(wǎng)連接,而用于公眾應(yīng)用的操作系統(tǒng)只能建立公網(wǎng)連接�,實現(xiàn)了專業(yè)應(yīng)用信息和公眾應(yīng)用信息的完全物理隔離。用戶終端1分配唯一的認(rèn)證帳號和密碼���,帳號與用戶身份相掛鉤���,建立數(shù)字化的 身份認(rèn)證系統(tǒng),并根據(jù)客戶屬性和業(yè)務(wù)開通情況設(shè)置對應(yīng)的接入權(quán)限和操作權(quán)限�����。用戶終端1還設(shè)有外接式的移動數(shù)字證書11用于數(shù)字加密���。用戶的個人信息和 交易信息在傳輸過程中得到安全防護(hù)�,只有經(jīng)過授權(quán)的服務(wù)進(jìn)程才能夠通過解密獲取用戶 的這些重要信息����,并采用密鑰統(tǒng)一發(fā)起專網(wǎng)連接�。外接式移動數(shù)字證書11實現(xiàn)了交易系統(tǒng) 密鑰與智能終端的物理分離����,真正的軟件加密和硬件加密同步,而在傳統(tǒng)的PC機上難以兼 容這兩種加密方式���,往往是一臺PC機可以對應(yīng)不同的密鑰����,或者一個密鑰可以在不同的PC 機上使用��,硬件不是唯一匹配的�,而采用外接式移動數(shù)字證書11使得用戶在涉密、金融等 非現(xiàn)場行業(yè)的移動交易�、移動支付的安全性大大提高。此外�����,用戶終端1還具備了非接觸式的自動識別系統(tǒng)����,該系統(tǒng)的ID號與用戶終端 1號碼����、身份��、移動支付帳戶綁定��,能夠?qū)崿F(xiàn)用戶在移動支付�、現(xiàn)場身份識別的應(yīng)用����。通過上 述定制的用戶終端1和健全的企業(yè)后臺認(rèn)證機制來建立較高安全級別的身份認(rèn)證體系,且 在身份識別的基礎(chǔ)上建立VIP客戶服務(wù)智能維護(hù)管理系統(tǒng)���,將網(wǎng)絡(luò)安全性等也作為一種差 異化服務(wù)內(nèi)容納入到服務(wù)體系當(dāng)中����,進(jìn)一步提升中國電信差異化的競爭力���。在上述實施例中所提及的“第一”���、“第二”及其類似術(shù)語只是用于區(qū)別同類型的兩 個部件,而不是用于描述序列或者時間順序����。本領(lǐng)域技術(shù)人員可以根據(jù)本實用新型作出各 種改變和變形����,只要不脫離本實用新型的精神�����,均應(yīng)屬于本實用新型所附權(quán)利要求所定義 的范圍����。
權(quán)利要求1.非現(xiàn)場行業(yè)安全網(wǎng)絡(luò)構(gòu)架,包括骨干網(wǎng)G)��、企業(yè)后臺服務(wù)端����、用戶終端(1),其特征 在于還包括位于骨干網(wǎng)內(nèi)的網(wǎng)絡(luò)接入認(rèn)證模塊O)����、提供給用戶的應(yīng)用網(wǎng)絡(luò)服務(wù)器(3),所述網(wǎng)絡(luò)接入認(rèn)證模塊( 與應(yīng)用網(wǎng)絡(luò)服務(wù)器C3)之間建立第二層隧道協(xié)議實現(xiàn)專業(yè) 網(wǎng)與公眾網(wǎng)的傳輸隔離�����;所述應(yīng)用網(wǎng)絡(luò)服務(wù)器C3)通過虛擬專用網(wǎng)與企業(yè)后臺服務(wù)端的企 業(yè)內(nèi)網(wǎng)互聯(lián)����;所述企業(yè)后臺服務(wù)端設(shè)置遠(yuǎn)程撥號認(rèn)證系統(tǒng)用于判斷用戶終端(1)的用戶是 否有接入企業(yè)內(nèi)網(wǎng)的權(quán)限;所述用戶終端(1)內(nèi)設(shè)有用于存儲專業(yè)網(wǎng)信息的第一存貯單元 (12)以及用于存儲公眾網(wǎng)信息的第二存貯單元(13)�����,其中第一存貯單元(12)接入骨干網(wǎng)(4)的網(wǎng)絡(luò)接入認(rèn)證模塊O)�,實現(xiàn)專業(yè)網(wǎng)絡(luò)運行與公眾網(wǎng)絡(luò)運行的物理隔離。
2.根據(jù)權(quán)利要求1所述的非現(xiàn)場行業(yè)安全網(wǎng)絡(luò)構(gòu)架����,其特征在于所述用戶終端(1) 的第一存貯單元(1 通過虛擬專用撥號網(wǎng)接入骨干網(wǎng)的網(wǎng)絡(luò)接入認(rèn)證模塊O),網(wǎng)絡(luò) 接入認(rèn)證模塊⑵內(nèi)設(shè)置分組業(yè)務(wù)數(shù)據(jù)節(jié)點實現(xiàn)用戶到骨干網(wǎng)⑷內(nèi)AAA服務(wù)器的認(rèn)證�、 授權(quán)、計費���。
3.根據(jù)權(quán)利要求1所述的非現(xiàn)場行業(yè)安全網(wǎng)絡(luò)構(gòu)架���,其特征在于所述用戶終端(1) 還設(shè)有外接式的移動數(shù)字證書用于數(shù)字加密。
4.根據(jù)權(quán)利要求1所述的非現(xiàn)場行業(yè)安全網(wǎng)絡(luò)構(gòu)架��,其特征在于所述用戶終端(1) 還設(shè)有非接觸式的自動識別系統(tǒng)���。
專利摘要本實用新型公開了非現(xiàn)場行業(yè)安全網(wǎng)絡(luò)構(gòu)架�,包括骨干網(wǎng)、企業(yè)后臺服務(wù)端�����、用戶終端�、位于骨干網(wǎng)內(nèi)的網(wǎng)絡(luò)接入認(rèn)證模塊、應(yīng)用網(wǎng)絡(luò)服務(wù)器����,網(wǎng)絡(luò)接入認(rèn)證模塊與應(yīng)用網(wǎng)絡(luò)服務(wù)器之間建立第二層隧道協(xié)議實現(xiàn)專業(yè)網(wǎng)與公眾網(wǎng)的傳輸隔離;應(yīng)用網(wǎng)絡(luò)服務(wù)器通過虛擬專用網(wǎng)與企業(yè)后臺服務(wù)端的企業(yè)內(nèi)網(wǎng)互聯(lián)���;企業(yè)后臺服務(wù)端設(shè)置遠(yuǎn)程撥號認(rèn)證系統(tǒng)用于判斷用戶終端的用戶是否有接入企業(yè)內(nèi)網(wǎng)的權(quán)限����;用戶終端內(nèi)設(shè)有用于存儲專業(yè)網(wǎng)信息的第一存貯單元以及用于存儲公眾網(wǎng)信息的第二存貯單元�����,其中第一存貯單元接入骨干網(wǎng)的網(wǎng)絡(luò)接入認(rèn)證模塊��,實現(xiàn)專業(yè)網(wǎng)絡(luò)運行與公眾網(wǎng)絡(luò)運行的物理隔離����。
文檔編號H04L29/06GK201846357SQ201020281179
公開日2011年5月25日 申請日期2010年7月30日 優(yōu)先權(quán)日2010年7月30日
發(fā)明者張為志 申請人:杭州茵緦特科技有限公司