專利名稱:非現場行業安全網絡構架的制作方法
技術領域:
本實用新型屬于網絡安全技術領域,尤其是為涉密、金融、大額電子交易等非現場 行業的移動交易、移動支付、非常現場辦公等提供專業信息保護的網絡安全構架。
背景技術:
網絡安全從其本質上來講就是網絡上的信息安全,經過多年的應用與發展以及人 們對網絡軟硬件技術認識的深入,網絡安全已超過對網絡可靠性、交換能力和服務質量的 要求,成為企業及個人用戶在在線交易、支付等過程中最為關心的問題。但目前在涉密行 業,特別是金融服務領域,個人終端用戶往往是以電腦及手持終端通過公網接入到后臺服 務系統,其連接過程缺乏相應的網絡保護機制,專業應用信息與公眾應用信息走在同一條 通道中,使得當出現公網網絡端口故障時,專業應用也無法接入;同時,專業應用信息和公 眾網絡信息無法隔離,目前的金融證券應用又缺乏健全的數字加密和身份認證機制,因此 個人用戶的個人信息及交易信息的安全性也無法得到保障。從用戶(個人、企業)的角度出發,他們希望涉及個人隱私或商業利益的信息在網 絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、 抵賴等手段侵犯用戶的利益和隱私。而從網絡運行和管理者角度出發,他們希望對本地網 絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕服務和 網絡資源非法占用和非法控制等威脅,制止和防御網絡黑客的攻擊。涉密、金融等非現場行業其未來的發展方向必然是需要建立一個與公網隔離的更 加注重網絡安全性及可靠性的專業性金融綠網,從而實現基于安全專網和無線通信(3G) 技術的非現場行業應用。
發明內容本實用新型所要解決的問題就是針對現有涉密、金融等非現場行業在網絡通信過 程中缺乏相應網絡保護機制的缺點,同時克服點對點的獨家性的局域網缺點,建立一個安 全的共用性專網,提供一種非現場行業安全網絡構架,通過定制的專業終端和健全的后臺 認證機制來建立較高安全級別的身份認證體系,在身份識別的基礎上建立VIP客戶服務智 能維護管理系統。為解決上述技術問題,本實用新型采用如下技術方案非現場行業安全網絡構架, 包括骨干網、企業后臺服務端、用戶終端,其特征在于還包括位于骨干網內的網絡接入認 證模塊、提供給用戶的應用網絡服務器,所述網絡接入認證模塊與應用網絡服務器之間建 立第二層隧道協議實現專業網與公眾網的傳輸隔離;所述應用網絡服務器通過虛擬專用網 與企業后臺服務端的企業內網互聯;所述企業后臺服務端設置遠程撥號認證系統用于判斷 用戶終端的用戶是否有接入企業內網的權限;所述用戶終端內設有用于存儲專業網信息的 第一存貯單元以及用于存儲公眾網信息的第二存貯單元,其中第一存貯單元接入骨干網的 網絡接入認證模塊,實現專業網絡運行與公眾網絡運行的物理隔離。[0007]進一步的,所述用戶終端的第一存貯單元通過虛擬專用撥號網接入骨干網的網絡 接入認證模塊,網絡接入認證模塊內設置分組業務數據節點實現用戶到骨干網內AAA服務 器的認證、授權、計費。進一步的,所述應用網絡服務器內設有與企業后臺服務端一一對應的虛擬路由 器,虛擬路由器內設有兩個IP地址池,通過骨干網內服務商邊緣路由器的訪問控制列表使 其中一 IP地址池只能訪問其所在虛擬路由器對應的企業后臺服務端,另一 IP地址池可以 訪問所用企業后臺服務端。進一步的,所述應用網絡服務器中不同的虛擬路由器具有不同的認證服務器地址。進一步的,所述應用網絡服務器根據遠程撥號認證系統反饋的判斷結果來執行后 續操作。進一步的,所述第一存貯單元內設有管理專業應用信息的第一操作系統,第二存 貯單元內設有管理公眾應用信息的第二操作系統。進一步的,所述第一操作系統只與安全專網建立連接,所述第二操作系統只與公 網建立連接。進一步的,所述用戶終端分配有唯一的認證帳號與密碼,該認證帳號與企業后臺 服務端構成數字化的身份認證系統,所述企業后臺服務端根據用戶身份信息開通設置對應 的接入權限及操作權限。進一步的,所述用戶終端還設有專網必須的外接式的移動數字證書用于數字加 密。用戶的個人信息和交易信息在傳輸過程中得到安全防護,只有經過授權的服務進程才 能夠通過解密獲取用戶的這些重要信息。進一步的,所述用戶終端還設有非接觸式的自動識別系統。該系統的ID號與用戶 終端號碼、身份、移動支付帳戶綁定,能夠實現用戶在移動支付、現場身份識別的應用。本實用新型的有益效果通過上述方案,本實用新型實現了專業應用信息與公眾 應用信息的傳輸隔離以及在應用層、存儲空間上的物理隔離,這使得用戶的專業應用操作 及其專業應用信息可以獨立地接入企業后臺服務端,為用戶個人信息及交易信息的安全性 提供最為基本的保障;用戶終端則分配了唯一的認證帳號與密碼,該認證帳號與企業后臺 服務端構成數字化的身份認證系統,用戶自建的應用網絡服務器與企業后臺服務端構成完 全的認證機制,以便建立高級別的身份認證系統;用戶終端還采用了外接式的移動數字證 書用于數字加密,只有授權方才能獲得密鑰,進行解碼和信息獲取,實現了交易系統密鑰與 用戶終端設備的物理分離,真正的軟件加密和硬件加密同步進行,為用戶在涉密、金融等非 現場行業的移動交易、移動支付提供最為完整、真實的專業信息保護。
以下結合附圖對本實用新型作進一步的說明
圖1為本實用新型的網絡構架示意圖。
具體實施方式
如圖1所示,本實用新型非現場行業安全網絡構架的一個實施例[0020]網絡側的解決方案如下包括骨干網4、企業后臺服務端、用戶終端1、位于骨干網 4內的網絡接入認證模塊2以及提供給用戶的應用網絡服務器(LNS) 3,所述網絡接入認證 模塊2與應用網絡服務器(LNS) 3之間建立第二層隧道協議(L2TP)實現專業網與公眾網 的傳輸隔離;所述應用網絡服務器(LNQ3通過虛擬專用網(VPN)與企業后臺服務端的企 業內網互聯;所述企業后臺服務端設置遠程撥號認證系統(RADIUS)用于判斷用戶終端的 用戶是否有接入企業內網的權限;其中的企業后臺服務端包括了 A證券公司后臺服務端5、 B證券公司后臺服務端6,當然也可以包括其他金融領域的企業,譬如銀行、電子商務、政務 等,不同的證券公司采用域名也不相同;用戶終端1可以是臺式機、筆記本電腦、手持通訊 設備,用戶終端1還可以是其它具備有網絡接入功能的網絡設備。用戶終端首先需要通過虛擬專用撥號網(VPDN)接入骨干網4的網絡接入認證模 Ife 2,這里的骨干網4采用了 CN2 (Chinatelecom Next Carrier Network,中國電信下一代 承載網絡),也可以采用其他供應商所擁有的它們自己的骨干網4 ;網絡接入認證模塊2內 設置分組業務數據節點(PDSN)實現用戶到骨干網4內AAA服務器的認證、授權、計費。在 應用網絡服務器(LNS) 3內設有與A證券公司后臺服務端5、B證券公司后臺服務端6—一 對應的虛擬路由器(VR),每個虛擬路由器(VR)內設有兩個IP地址池,其中一 IP地址池只 能訪問其所在虛擬路由器(VR)對應的企業后臺服務端,另一 IP地址池則可以訪問所用企 業后臺服務端,這個功能通過骨干網4內服務商邊緣路由器(PE)的訪問控制列表(ACL)來 實現;同時,在用戶自建的應用網絡服務器(LNS)3中不同的虛擬路由器(VR)具有不同的 RADIUS認證服務器地址,應用網絡服務器(LNQ 3根據遠程撥號認證系統(RADIUQ返還的 判斷結果來執行后續操作。上述的種種功能可以通過以下一個具體的撥號認證過程來解釋說明1、證券公司A的用戶通過虛擬專用撥號網(VPDN)接入CN2骨干網4的網絡接入 認證模塊2,用戶輸入帳號及密碼,PDSN根據用戶域名建立網絡接入認證模塊2到應用網絡 服務器(LNS) 3之間的(L2TP)隧道;2、應用網絡服務器(LNS) 3根據用戶域名將用戶的帳號及密碼傳送至證券公司A 的遠程撥號認證系統(RADIUS),(RADIUS)根據用戶信息將判斷結果以及IP地址池屬性反 饋給應用網絡服務器(LNS) 3 ;3、應用網絡服務器(LNS)3根據(RADIUS)的判斷結果完成以下情況的操作a)認證不通過通知PDSN拆線,用戶撥號失敗;b)認證通過建立連接并根據(RADIUS)判斷結果內的地址池屬性分配用戶的IP 地址。通過上述撥號認證過程可以看出,用戶賬號的認證工作其實是由用戶自行完成。終端側的解決方案如下在用戶終端1內設置了用于存儲專業網信息的第一存貯單元12以及用于存儲公 眾網信息的第二存貯單元13,第一存貯單元12內設有管理專業應用信息的第一操作系統, 第二存貯單元13內設有管理公眾應用信息的第二操作系統;第一操作系統只與企業專網 建立連接,而第二操作系統只與公網建立連接。專業應用和普通公眾應用采用兩個操作系 統,兩種應用信息、操作系統及程序存儲在兩個不同的物理硬盤上,進程也駐留來不同的內 存中,同時要求用于專業應用的操作系統只能建立專網連接,而用于公眾應用的操作系統只能建立公網連接,實現了專業應用信息和公眾應用信息的完全物理隔離。用戶終端1分配唯一的認證帳號和密碼,帳號與用戶身份相掛鉤,建立數字化的 身份認證系統,并根據客戶屬性和業務開通情況設置對應的接入權限和操作權限。用戶終端1還設有外接式的移動數字證書11用于數字加密。用戶的個人信息和 交易信息在傳輸過程中得到安全防護,只有經過授權的服務進程才能夠通過解密獲取用戶 的這些重要信息,并采用密鑰統一發起專網連接。外接式移動數字證書11實現了交易系統 密鑰與智能終端的物理分離,真正的軟件加密和硬件加密同步,而在傳統的PC機上難以兼 容這兩種加密方式,往往是一臺PC機可以對應不同的密鑰,或者一個密鑰可以在不同的PC 機上使用,硬件不是唯一匹配的,而采用外接式移動數字證書11使得用戶在涉密、金融等 非現場行業的移動交易、移動支付的安全性大大提高。此外,用戶終端1還具備了非接觸式的自動識別系統,該系統的ID號與用戶終端 1號碼、身份、移動支付帳戶綁定,能夠實現用戶在移動支付、現場身份識別的應用。通過上 述定制的用戶終端1和健全的企業后臺認證機制來建立較高安全級別的身份認證體系,且 在身份識別的基礎上建立VIP客戶服務智能維護管理系統,將網絡安全性等也作為一種差 異化服務內容納入到服務體系當中,進一步提升中國電信差異化的競爭力。在上述實施例中所提及的“第一”、“第二”及其類似術語只是用于區別同類型的兩 個部件,而不是用于描述序列或者時間順序。本領域技術人員可以根據本實用新型作出各 種改變和變形,只要不脫離本實用新型的精神,均應屬于本實用新型所附權利要求所定義 的范圍。
權利要求1.非現場行業安全網絡構架,包括骨干網G)、企業后臺服務端、用戶終端(1),其特征 在于還包括位于骨干網內的網絡接入認證模塊O)、提供給用戶的應用網絡服務器(3),所述網絡接入認證模塊( 與應用網絡服務器C3)之間建立第二層隧道協議實現專業 網與公眾網的傳輸隔離;所述應用網絡服務器C3)通過虛擬專用網與企業后臺服務端的企 業內網互聯;所述企業后臺服務端設置遠程撥號認證系統用于判斷用戶終端(1)的用戶是 否有接入企業內網的權限;所述用戶終端(1)內設有用于存儲專業網信息的第一存貯單元 (12)以及用于存儲公眾網信息的第二存貯單元(13),其中第一存貯單元(12)接入骨干網(4)的網絡接入認證模塊O),實現專業網絡運行與公眾網絡運行的物理隔離。
2.根據權利要求1所述的非現場行業安全網絡構架,其特征在于所述用戶終端(1) 的第一存貯單元(1 通過虛擬專用撥號網接入骨干網的網絡接入認證模塊O),網絡 接入認證模塊⑵內設置分組業務數據節點實現用戶到骨干網⑷內AAA服務器的認證、 授權、計費。
3.根據權利要求1所述的非現場行業安全網絡構架,其特征在于所述用戶終端(1) 還設有外接式的移動數字證書用于數字加密。
4.根據權利要求1所述的非現場行業安全網絡構架,其特征在于所述用戶終端(1) 還設有非接觸式的自動識別系統。
專利摘要本實用新型公開了非現場行業安全網絡構架,包括骨干網、企業后臺服務端、用戶終端、位于骨干網內的網絡接入認證模塊、應用網絡服務器,網絡接入認證模塊與應用網絡服務器之間建立第二層隧道協議實現專業網與公眾網的傳輸隔離;應用網絡服務器通過虛擬專用網與企業后臺服務端的企業內網互聯;企業后臺服務端設置遠程撥號認證系統用于判斷用戶終端的用戶是否有接入企業內網的權限;用戶終端內設有用于存儲專業網信息的第一存貯單元以及用于存儲公眾網信息的第二存貯單元,其中第一存貯單元接入骨干網的網絡接入認證模塊,實現專業網絡運行與公眾網絡運行的物理隔離。
文檔編號H04L29/06GK201846357SQ201020281179
公開日2011年5月25日 申請日期2010年7月30日 優先權日2010年7月30日
發明者張為志 申請人:杭州茵緦特科技有限公司