專利名稱::認(rèn)證網(wǎng)關(guān)及其數(shù)據(jù)處理方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及一種具有可信訪問控制功能和路由功能的網(wǎng)絡(luò)安全互聯(lián)設(shè)備,尤其是涉及一種能在IP層上實(shí)施數(shù)據(jù)包監(jiān)控、用戶身份認(rèn)證和路由轉(zhuǎn)發(fā)的認(rèn)證網(wǎng)關(guān)。本發(fā)明還涉及該認(rèn)證網(wǎng)關(guān)的數(shù)據(jù)處理方法。
背景技術(shù):
:在網(wǎng)絡(luò)信息化和電子政務(wù)實(shí)施過程中,網(wǎng)絡(luò)安全成為迫切需要解決的問題,從根本上講,網(wǎng)絡(luò)安全需要解決的是人、資源以及人和資源的關(guān)系問題。具體而言,在一個(gè)應(yīng)用系統(tǒng)被訪問時(shí),人及人所使用的設(shè)備是訪問者,應(yīng)用系統(tǒng)的所有網(wǎng)絡(luò)資源(服務(wù)、文件等)是被訪問者,要實(shí)現(xiàn)人對(duì)資源的安全、可信訪問,需要解決以下兩個(gè)問題1)“誰能進(jìn)來”,即如何保證外來用戶對(duì)應(yīng)用系統(tǒng)的可信訪問,只有持有有效證書的用戶,在被確認(rèn)身份可信后,才能訪問應(yīng)用系統(tǒng)。2)“什么能出去”,即如何實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)中資源的有效控制,只有被訪問的資源已經(jīng)授權(quán)給該用戶時(shí),用戶才能從應(yīng)用系統(tǒng)中獲取該資源。針對(duì)“誰能進(jìn)來”的問題,即,如何有效地控制用戶對(duì)應(yīng)用系統(tǒng)的可信訪問,目前,有如下幾種網(wǎng)關(guān)類產(chǎn)品提出了技術(shù)解決方案,但都存在安全方面的不足。1.包過濾防火墻多數(shù)的網(wǎng)絡(luò)安全公司都生產(chǎn)包過濾防火墻,它通過檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素,或它們的組合來確定是否允許該數(shù)據(jù)包通過。如果防火墻設(shè)定某一IP地址為危險(xiǎn)的話,則從這個(gè)地址來的所有信息都會(huì)被防火墻屏蔽掉。包過濾防火墻的最大的優(yōu)點(diǎn)是它對(duì)于用戶來說是透明的,速度快而且易于維護(hù)。缺點(diǎn)是一、其控制的訪問對(duì)象是設(shè)備,而不是設(shè)備的使用者一人,一旦設(shè)備的IP地址、端口號(hào)被設(shè)置為允許通過,則不管該設(shè)備的當(dāng)前用戶是否具有對(duì)某一應(yīng)用的訪問權(quán),均可穿過防火墻去訪問;二、數(shù)據(jù)包的源地址、目的地址以及傳輸層協(xié)議的端口號(hào)都在數(shù)據(jù)包的頭部明文標(biāo)識(shí),很有可能被竊聽或假冒。2.應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)(ApplicationLevelGateways)是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能的防火墻類產(chǎn)品。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯進(jìn)行過濾,并在過濾的同時(shí),對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì),形成報(bào)告。實(shí)際中的應(yīng)用級(jí)網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。應(yīng)用級(jí)網(wǎng)關(guān)和包過濾防火墻都有一個(gè)共同特點(diǎn),就是它們僅僅依靠特定的邏輯決定是否允許數(shù)據(jù)包通過。一旦滿足邏輯,則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系,防火墻外部的用戶不管是否具有訪問某應(yīng)用的權(quán)限,便可以通過被設(shè)置成允許通過的設(shè)備,去直接訪問防火墻保護(hù)的網(wǎng)絡(luò)資源。而且應(yīng)用級(jí)網(wǎng)關(guān)缺少靈活性,需要隨應(yīng)用環(huán)境的不同而變化,針對(duì)每一種服務(wù)就需要一種代理軟件,無法實(shí)現(xiàn)快速部署。3.代理服務(wù)代理服務(wù)(ProxyService)也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人將它歸類于應(yīng)用級(jí)網(wǎng)關(guān)。它是針對(duì)數(shù)據(jù)包過濾和應(yīng)用級(jí)網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù),其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”,由兩個(gè)終止代理服務(wù)器上的“鏈接”來實(shí)現(xiàn),外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器,從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外,代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記,形成報(bào)告,同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào),并保留攻擊痕跡。4.透明式網(wǎng)關(guān)透明式網(wǎng)關(guān)對(duì)應(yīng)用系統(tǒng)是透明的,一般應(yīng)用于電信、政府、醫(yī)療等系統(tǒng)用于計(jì)費(fèi)與網(wǎng)絡(luò)管理。現(xiàn)有的透明式網(wǎng)關(guān)一般工作在IP層,是一種網(wǎng)絡(luò)管理設(shè)備,經(jīng)常集信息包流入(流出)控制、網(wǎng)絡(luò)管理以及計(jì)費(fèi)、監(jiān)控等功能為一體,采用用戶帳號(hào)、IP地址、網(wǎng)卡地址綁定在一起或采用其中之一的方式實(shí)現(xiàn)用戶身份認(rèn)證,可在不改變用戶訪問Internet方式的前提下實(shí)現(xiàn)訪問控制與網(wǎng)絡(luò)監(jiān)控。上述4類產(chǎn)品目前只局限于對(duì)設(shè)備進(jìn)行身份認(rèn)證,不對(duì)設(shè)備的使用者進(jìn)行身份認(rèn)證,且身份認(rèn)證的方式不是基于數(shù)字證書。一旦設(shè)備的使用者和設(shè)備之間不存在信任關(guān)系時(shí),這種訪問控制機(jī)制就不安全。
發(fā)明內(nèi)容本發(fā)明解決的技術(shù)問題是提供一種認(rèn)證網(wǎng)關(guān),不僅對(duì)設(shè)備進(jìn)行身份認(rèn)證,而且該認(rèn)證網(wǎng)關(guān)采用基于數(shù)字證書的PKI認(rèn)證體系對(duì)訪問應(yīng)用系統(tǒng)的用戶進(jìn)行身份認(rèn)證,使得只有身份認(rèn)證通過的用戶才能穿過認(rèn)證網(wǎng)關(guān)訪問應(yīng)用系統(tǒng),未通過的用戶無法訪問應(yīng)用系統(tǒng);為此,本發(fā)明還要提供一種該認(rèn)證網(wǎng)關(guān)的數(shù)據(jù)處理方法。為解決上述技術(shù)問題,本發(fā)明認(rèn)證網(wǎng)關(guān)包括IP層監(jiān)控模塊、身份認(rèn)證模塊、路由模塊、管理配置模塊、審計(jì)模塊和用戶消息通知模塊;該認(rèn)證網(wǎng)關(guān)與用戶終端、適配服務(wù)器、應(yīng)用系統(tǒng)實(shí)現(xiàn)信息交互;所述IP層監(jiān)控模塊基于路由軟件的Netfilter框架的iptables的數(shù)據(jù)報(bào)文選擇系統(tǒng)改造而成,該IP層監(jiān)控模塊負(fù)責(zé)實(shí)現(xiàn)對(duì)進(jìn)入IN端口的IP層數(shù)據(jù)包進(jìn)行解析、監(jiān)控,決定是否允許其通過,此過程相對(duì)于接入用戶完全透明;所述身份認(rèn)證模塊由認(rèn)證客戶端和認(rèn)證服務(wù)端(即認(rèn)證服務(wù)器)兩部分組成,通過自定義的IP層專有認(rèn)證通訊協(xié)議,采用challenge/reply認(rèn)證模式,實(shí)現(xiàn)對(duì)用戶身份的基于X.509證書的本地認(rèn)證功能,認(rèn)證服務(wù)端包括一個(gè)已認(rèn)證用戶列表,其上記載著已認(rèn)證身份且在“活躍期”的用戶的信息;所述路由模塊,由管理BGP-4和BGP-4+協(xié)議的Bgpd子模塊、管理RIPv1,v2協(xié)議的Ripd子模塊、管理RIPng協(xié)議的Ripngd子模塊、管理OSPFv2協(xié)議的Ospfd子模塊、管理OSPFv3協(xié)議的ospf6d子模塊組成,實(shí)現(xiàn)動(dòng)態(tài)路由器的全部功能,包括IP數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)、基于OSPF、BGP協(xié)議的路由表動(dòng)態(tài)更新功能;所述用戶消息通知模塊在用戶通過所述認(rèn)證網(wǎng)關(guān)的身份認(rèn)證并得到相應(yīng)的授權(quán)后,將用戶信息及時(shí)通知給適配服務(wù)器;所述管理配置模塊主要完成對(duì)用戶、管理員基本信息和證書的管理,并能夠完成對(duì)路由信息的配置和實(shí)時(shí)監(jiān)控所述認(rèn)證網(wǎng)關(guān)的功能;所述審計(jì)模塊完成兩種日志功能基于syslog日志協(xié)議的遠(yuǎn)程日志功能和本地日志功能;所述認(rèn)證網(wǎng)關(guān)在運(yùn)行時(shí),各模塊組合如下IP層監(jiān)控模塊在IN端口對(duì)由外網(wǎng)到達(dá)認(rèn)證網(wǎng)關(guān)意欲進(jìn)入應(yīng)用系統(tǒng)的IP數(shù)據(jù)包進(jìn)行監(jiān)控,當(dāng)檢測(cè)到IP數(shù)據(jù)包的源IP地址及用戶信息在“已認(rèn)證用戶列表”中并不存在時(shí),IP層監(jiān)控模塊通過系統(tǒng)調(diào)用實(shí)現(xiàn)和身份認(rèn)證模塊的組合;當(dāng)身份認(rèn)證模塊在對(duì)用戶進(jìn)行身份認(rèn)證后,將調(diào)用消息通知接口實(shí)現(xiàn)和用戶消息通知模塊的組合,同時(shí)調(diào)用日志發(fā)送接口發(fā)送日志信息實(shí)現(xiàn)和審計(jì)模塊的組合;當(dāng)用戶通過身份認(rèn)證后,所述認(rèn)證網(wǎng)關(guān)通過系統(tǒng)調(diào)用實(shí)現(xiàn)和路由模塊的組合,并通過路由模塊轉(zhuǎn)發(fā)數(shù)據(jù);所述認(rèn)證網(wǎng)關(guān)采用全I(xiàn)P架構(gòu),其中IP層監(jiān)控模塊、身份認(rèn)證模塊和路由模塊工作在IP層,實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)透明和IP層互聯(lián)功能;管理配置模塊、用戶消息通知模塊、審計(jì)模塊工作在應(yīng)用層,提供對(duì)認(rèn)證網(wǎng)關(guān)管理、審計(jì)及用戶消息通知功能。本發(fā)明認(rèn)證網(wǎng)關(guān)的監(jiān)聽、認(rèn)證、路由流程步驟如下1)IP層監(jiān)控模塊在IN端口對(duì)IP數(shù)據(jù)包進(jìn)行偵測(cè),當(dāng)檢測(cè)到IP數(shù)據(jù)包的源IP地址在“已認(rèn)證用戶列表”中并不存在時(shí),即有未認(rèn)證的或已過認(rèn)證“活躍期”的源IP地址訪問內(nèi)網(wǎng)時(shí),立即通知身份認(rèn)證模塊進(jìn)行認(rèn)證,并丟棄該IP數(shù)據(jù)包;2)身份認(rèn)證模塊發(fā)送“認(rèn)證請(qǐng)求”到該IP地址,要求該地址所在的用戶示證,“認(rèn)證請(qǐng)求”包括當(dāng)前認(rèn)證session號(hào),認(rèn)證隨機(jī)數(shù)信息;3)認(rèn)證客戶端收到服務(wù)端發(fā)出的“認(rèn)證請(qǐng)求”,用自己的私鑰對(duì)認(rèn)證隨機(jī)數(shù)進(jìn)行簽名,并附上自己的證書,組成“簽名回應(yīng)”數(shù)據(jù)包,將“簽名回應(yīng)”包發(fā)送給認(rèn)證服務(wù)端;4)認(rèn)證服務(wù)端接收到客戶端發(fā)出的“簽名回應(yīng)”,首先使用根證書對(duì)“簽名回應(yīng)”數(shù)據(jù)包中的用戶證書進(jìn)行驗(yàn)證,通過驗(yàn)證的,就使用該證書對(duì)簽名進(jìn)行驗(yàn)簽,驗(yàn)簽成功則向已認(rèn)證用戶列表中添加該用戶信息,并加蓋時(shí)間戳,同時(shí)反饋認(rèn)證通過的消息給IP監(jiān)控模塊,發(fā)出容許該IP地址在“活躍期”內(nèi)通過的指令,允許用戶通過認(rèn)證網(wǎng)關(guān)訪問應(yīng)用系統(tǒng);5)否則,反饋認(rèn)證失敗的消息,并禁止該IP訪問應(yīng)用系統(tǒng);6)認(rèn)證服務(wù)端在每一個(gè)經(jīng)過認(rèn)證的IP地址即將超過認(rèn)證“活躍期”時(shí),重復(fù)從2)到5)的操作,保證了用戶與應(yīng)用系統(tǒng)通信過程中的定時(shí)自動(dòng)認(rèn)證,而且不影響網(wǎng)絡(luò)資源的使用;7)除了步驟6)的重新認(rèn)證策略即定時(shí)重新認(rèn)證,還可以選擇另一種重新認(rèn)證策略方案即在用戶通過認(rèn)證后,根據(jù)網(wǎng)絡(luò)流量來判斷用戶是否仍處在活躍狀態(tài),流量大于某一閥值的則認(rèn)為活躍,小于某一閥值的則認(rèn)為不活躍,已經(jīng)處于不活躍狀態(tài)的IP地址的用戶,其信息從已認(rèn)證用戶列表中刪除,再次訪問的時(shí)候則要求重新認(rèn)證;8)認(rèn)證通過后,IP層監(jiān)控模塊就將該IP地址的數(shù)據(jù)包的處理權(quán)移交給路由模塊,由路由模塊實(shí)施對(duì)該IP地址的數(shù)據(jù)包的路由轉(zhuǎn)發(fā)操作。本發(fā)明的有益效果是所述認(rèn)證網(wǎng)關(guān)工作在IP層,對(duì)應(yīng)用透明,可實(shí)現(xiàn)應(yīng)用網(wǎng)關(guān)的快速部署;在IP層上對(duì)IP設(shè)備及設(shè)備用戶進(jìn)行基于數(shù)字證書的身份認(rèn)證,確保對(duì)可信網(wǎng)絡(luò)的安全保護(hù);在IP層上對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā),保證數(shù)據(jù)通訊的通暢;在認(rèn)證的過程中,采用基于PKI認(rèn)證體系的身份認(rèn)證,保證認(rèn)證的可靠性。下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說明。圖1是本發(fā)明認(rèn)證網(wǎng)關(guān)體系結(jié)構(gòu)圖;圖2是本發(fā)明認(rèn)證網(wǎng)關(guān)層次模型圖;圖3是本發(fā)明認(rèn)證網(wǎng)關(guān)監(jiān)控階段工作流程圖;圖4是本發(fā)明認(rèn)證網(wǎng)關(guān)身份認(rèn)證階段工作流程圖;圖5是本發(fā)明認(rèn)證網(wǎng)關(guān)用戶消息通知階段工作流程圖;圖6是本發(fā)明認(rèn)證網(wǎng)關(guān)路由轉(zhuǎn)發(fā)階段工作流程圖;圖7是數(shù)據(jù)包通過Netfilter系統(tǒng)的過程示意圖;圖8是本發(fā)明認(rèn)證網(wǎng)關(guān)IP層監(jiān)控詳細(xì)工作流程圖;圖9是本發(fā)明認(rèn)證網(wǎng)關(guān)身份認(rèn)證詳細(xì)工作流程圖。具體實(shí)施例方式如圖1所示,本發(fā)明認(rèn)證網(wǎng)關(guān)包括IP層監(jiān)控模塊、身份認(rèn)證模塊、路由模塊、管理配置模塊、審計(jì)模塊和用戶消息通知模塊;該認(rèn)證網(wǎng)關(guān)與用戶終端、適配服務(wù)器、應(yīng)用系統(tǒng)實(shí)現(xiàn)信息交互。所述IP層監(jiān)控模塊基于路由軟件的Netfilter框架的iptables的數(shù)據(jù)報(bào)文選擇系統(tǒng)改造而成,該IP層監(jiān)控模塊負(fù)責(zé)實(shí)現(xiàn)對(duì)進(jìn)入IN端口的IP層數(shù)據(jù)包進(jìn)行解析、監(jiān)控,決定是否允許其通過,此過程相對(duì)于接入用戶完全透明。所述身份認(rèn)證模塊由認(rèn)證客戶端和認(rèn)證服務(wù)端(即認(rèn)證服務(wù)器)兩部分組成,通過自定義的IP層專有認(rèn)證通訊協(xié)議,采用challenge/reply認(rèn)證模式,實(shí)現(xiàn)對(duì)用戶身份的基于X.509證書的本地認(rèn)證功能,認(rèn)證服務(wù)端包括一個(gè)已認(rèn)證用戶列表,其上記載著已認(rèn)證身份且在“活躍期”的用戶的信息;所述路由模塊,由管理BGP-4和BGP-4+協(xié)議的Bgpd子模塊、管理RIPv1,v2協(xié)議的Ripd子模塊、管理RIPng協(xié)議的Ripngd子模塊、管理OSPFv2協(xié)議的Ospfd子模塊、管理OSPFv3協(xié)議的ospf6d子模塊組成,實(shí)現(xiàn)動(dòng)態(tài)路由器的全部功能,包括IP數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)、基于OSPF、BGP協(xié)議的路由表動(dòng)態(tài)更新功能;所述用戶消息通知模塊在用戶通過所述認(rèn)證網(wǎng)關(guān)的身份認(rèn)證并得到相應(yīng)的授權(quán)后,將用戶信息及時(shí)通知給適配服務(wù)器;所述管理配置模塊主要完成對(duì)用戶、管理員基本信息和證書的管理,并能夠完成對(duì)路由信息的配置和實(shí)時(shí)監(jiān)控所述認(rèn)證網(wǎng)關(guān)的功能;對(duì)用戶的管理,需通過適配服務(wù)器中的日志服務(wù)器與授權(quán)模塊的協(xié)調(diào)工作來實(shí)現(xiàn);所述審計(jì)模塊完成兩種日志功能基于syslog日志協(xié)議的遠(yuǎn)程日志功能和本地日志功能。本發(fā)明認(rèn)證網(wǎng)關(guān)在運(yùn)行時(shí),各模塊組合如下組合1IP層監(jiān)控模塊在IN端口對(duì)由外網(wǎng)到達(dá)認(rèn)證網(wǎng)關(guān)意欲進(jìn)入應(yīng)用系統(tǒng)的IP數(shù)據(jù)包進(jìn)行監(jiān)控,當(dāng)檢測(cè)到IP數(shù)據(jù)包的源IP地址及用戶信息在“已認(rèn)證用戶列表”中并不存在時(shí),IP層監(jiān)控模塊通過系統(tǒng)調(diào)用實(shí)現(xiàn)和身份認(rèn)證模塊的組合。組合2當(dāng)身份認(rèn)證模塊在對(duì)用戶進(jìn)行身份認(rèn)證后,將調(diào)用消息通知接口實(shí)現(xiàn)和用戶消息通知模塊的組合,同時(shí)調(diào)用日志發(fā)送接口發(fā)送日志信息實(shí)現(xiàn)和審計(jì)(日志)模塊的組合。組合3當(dāng)用戶通過身份認(rèn)證后,認(rèn)證網(wǎng)關(guān)通過系統(tǒng)調(diào)用實(shí)現(xiàn)和路由模塊的組合,并通過路由模塊轉(zhuǎn)發(fā)數(shù)據(jù)。本發(fā)明認(rèn)證網(wǎng)關(guān)各模塊運(yùn)行時(shí)的控制描述如下運(yùn)行IP層監(jiān)控模塊,實(shí)現(xiàn)對(duì)IP包的監(jiān)控、解析;運(yùn)行路由模塊,實(shí)現(xiàn)對(duì)IP包的路由轉(zhuǎn)發(fā);運(yùn)行管理配置模塊,實(shí)現(xiàn)對(duì)用戶信息、路由信息的管理、配置和監(jiān)控;運(yùn)行認(rèn)證服務(wù)器即認(rèn)證服務(wù)端,監(jiān)聽認(rèn)證協(xié)議信息;認(rèn)證服務(wù)器在用戶通過認(rèn)證后,調(diào)用用戶消息通知模塊通知應(yīng)用系統(tǒng);認(rèn)證服務(wù)器在用戶通過認(rèn)證后,同時(shí)調(diào)用審計(jì)(日志)模塊,發(fā)送日志信息。本發(fā)明認(rèn)證網(wǎng)關(guān)層次模型遵循網(wǎng)絡(luò)協(xié)議棧分層式的體系模型,采用模塊化和對(duì)象式的混合編程,使用代碼復(fù)用技術(shù)和統(tǒng)一模塊結(jié)構(gòu),確保系統(tǒng)的可擴(kuò)展性、易維護(hù)性、高效性和高可靠性,其層次模型如圖2所示。整個(gè)認(rèn)證網(wǎng)關(guān)采用全I(xiàn)P架構(gòu),其中IP層監(jiān)控模塊、身份認(rèn)證模塊和路由模塊工作在IP層,從而實(shí)現(xiàn)了對(duì)應(yīng)用系統(tǒng)透明和IP層互聯(lián)功能;管理配置模塊、用戶消息通知模塊、審計(jì)(日志)模塊工作在應(yīng)用層,提供了對(duì)本發(fā)明認(rèn)證網(wǎng)關(guān)管理、審計(jì)及用戶消息通知功能。本發(fā)明認(rèn)證網(wǎng)關(guān)數(shù)據(jù)處理流程描述如下在客戶端通過本發(fā)明認(rèn)證網(wǎng)關(guān)訪問應(yīng)用系統(tǒng)的一次完整的過程中,所述認(rèn)證網(wǎng)關(guān)對(duì)數(shù)據(jù)進(jìn)行處理的流程經(jīng)歷了如下階段監(jiān)控階段、身份認(rèn)證階段、用戶消息通知階段和路由轉(zhuǎn)發(fā)階段。監(jiān)控階段如圖1所示,IP層監(jiān)控模塊在IN端口處監(jiān)控IP數(shù)據(jù)包,如果當(dāng)前數(shù)據(jù)包的源IP地址及用戶信息在“已認(rèn)證用戶列表”中存在時(shí),則將該IP包放行至路由模塊,由路由模塊進(jìn)行路由;如果不存在,則IP層監(jiān)控模塊通過系統(tǒng)調(diào)用啟動(dòng)身份認(rèn)證模塊,由身份認(rèn)證模塊發(fā)起對(duì)該IP地址的用戶的身份認(rèn)證請(qǐng)求,進(jìn)入認(rèn)證階段。監(jiān)控階段數(shù)據(jù)處理流程如圖3所示。身份認(rèn)證階段身份認(rèn)證模塊啟動(dòng)后,向用戶發(fā)起基于數(shù)字證書的身份認(rèn)證,詳細(xì)的身份認(rèn)證過程將在后續(xù)的身份認(rèn)證詳細(xì)工作流程中敘述,此處僅描述認(rèn)證結(jié)果的處理過程,其處理過程如下(如圖4所示)身份認(rèn)證模塊向IP層監(jiān)控模塊和用戶返回認(rèn)證結(jié)果;若認(rèn)證失敗,則IP層監(jiān)控模塊拒絕用戶訪問請(qǐng)求,丟棄后續(xù)的該用戶的數(shù)據(jù)包;若認(rèn)證成功,則身份認(rèn)證模塊向已認(rèn)證用戶列表中添加該用戶信息,并加以時(shí)間戳。IP層監(jiān)控模塊參照已認(rèn)證用戶列表中的信息,準(zhǔn)予后續(xù)的該用戶的數(shù)據(jù)包通過。監(jiān)控階段、身份認(rèn)證階段完成了對(duì)用戶訪問應(yīng)用系統(tǒng)時(shí)的身份認(rèn)證和控制功能,只有具有訪問權(quán)限的用戶,其訪問數(shù)據(jù)才能通過認(rèn)證網(wǎng)關(guān),到達(dá)應(yīng)用系統(tǒng),而不是僅僅根據(jù)訪問設(shè)備的IP地址來決定是否允許其IP包通過。用戶消息通知階段當(dāng)用戶通過認(rèn)證后,需要通過適配服務(wù)器(適配服務(wù)器不屬于本發(fā)明認(rèn)證網(wǎng)關(guān)的組成部件,而是所述認(rèn)證網(wǎng)關(guān)的運(yùn)行支持環(huán)境部件)通知應(yīng)用系統(tǒng)進(jìn)入相應(yīng)的對(duì)用戶臨時(shí)授權(quán),容許用戶訪問應(yīng)用系統(tǒng)。用戶消息通知階段數(shù)據(jù)處理流程如圖5所示,其流程描述如下用戶消息通知模塊將通過認(rèn)證用戶信息(包括IP地址、用戶證書ID號(hào)等信息)通知給適配服務(wù)器;適配服務(wù)器將用戶登錄信息通知應(yīng)用系統(tǒng),觸發(fā)應(yīng)用系統(tǒng)進(jìn)行相應(yīng)的授權(quán)動(dòng)作;用戶根據(jù)授權(quán),使用權(quán)限范圍內(nèi)的應(yīng)用系統(tǒng)資源;同時(shí)所述認(rèn)證網(wǎng)關(guān)寫日志,記錄此次用戶登錄信息。路由轉(zhuǎn)發(fā)階段路由轉(zhuǎn)發(fā)階段的數(shù)據(jù)處理過程遵循通用的路由協(xié)議,根據(jù)目標(biāo)IP地址進(jìn)行路由,其工作流程如圖6所示。用戶消息通知階段、路由轉(zhuǎn)發(fā)階段實(shí)現(xiàn)了對(duì)用戶使用應(yīng)用系統(tǒng)資源時(shí)的權(quán)限管理功能和路由功能。下面對(duì)IP層監(jiān)控和身份認(rèn)證兩個(gè)關(guān)鍵階段的數(shù)據(jù)處理工作流程作進(jìn)一步詳細(xì)描述。IP層監(jiān)控階段詳細(xì)工作流程。一個(gè)數(shù)據(jù)包通過Netfilter系統(tǒng)的過程如圖7所示。數(shù)據(jù)包從左邊進(jìn)入系統(tǒng),進(jìn)行IP校驗(yàn)以后,數(shù)據(jù)包經(jīng)過第一個(gè)鉤子函數(shù)NF_IP_PRE_ROUTING[1]進(jìn)行處理;然后就進(jìn)入路由代碼,路由代碼判斷該數(shù)據(jù)包是轉(zhuǎn)發(fā)還是發(fā)給本機(jī)。若是發(fā)給本機(jī)的,則該數(shù)據(jù)經(jīng)過鉤子函數(shù)NF_IP_LOCAL_IN[2]處理以后傳遞給上層協(xié)議;若該數(shù)據(jù)包是轉(zhuǎn)發(fā)的,則它被NF_IP_FORWARD[3]處理,然后交由最后一個(gè)鉤子函數(shù)NF_IP_POST_ROUTING[4]處理,再傳輸?shù)骄W(wǎng)絡(luò)上。本地產(chǎn)生的數(shù)據(jù)經(jīng)過鉤子函數(shù)NF_IP_LOCAL_OUT[5]處理妥當(dāng)后,進(jìn)行路由選擇處理,然后經(jīng)由NF_IP_POST_ROUTING[4]處理,發(fā)送到網(wǎng)絡(luò)上。本發(fā)明認(rèn)證網(wǎng)關(guān),在NF_IP_PRE_ROUTING[1]處掛接IP監(jiān)控處理函數(shù),實(shí)現(xiàn)對(duì)IP包進(jìn)行監(jiān)控解析的功能,以及用戶身份是否需要認(rèn)證的識(shí)別功能,其處理流程如圖8所示,處理步驟如下第一步判斷是否是路由協(xié)議信息即對(duì)UDP頭的協(xié)議字段進(jìn)行判斷,如果是則不做任何操作,ip_rcv函數(shù)繼續(xù)向下運(yùn)行,即將該數(shù)據(jù)放行;否則進(jìn)入第二步;第二步判斷是否為自定義的認(rèn)證協(xié)議包即判斷skb->nh.iph->protocol字段,如果是則不做任何操作,放行數(shù)據(jù);否則進(jìn)入第三步;第三步判斷是否是到達(dá)本機(jī)IP的數(shù)據(jù),如果不是則進(jìn)入第五步;如果是則進(jìn)入第四步;第四步判斷是否是從管理端口接收到的數(shù)據(jù)即判斷skb->dev->name字段,如果是則放行,否則丟棄該sk_buff;第五步對(duì)源地址即skb->nh.iph->saddr字段進(jìn)行判斷,在內(nèi)核態(tài)的“已通過認(rèn)證IP鏈表”中如果有該IP地址就不做任何操作,ip_rcv函數(shù)繼續(xù)向下運(yùn)行,即將該數(shù)據(jù)放行,否則將該sk_buff丟棄,同時(shí)將該IP地址通知身份認(rèn)證模塊,由身份認(rèn)證模塊對(duì)該IP地址的用戶發(fā)出認(rèn)證請(qǐng)求。由于在監(jiān)控過程中加入了源IP地址是認(rèn)證網(wǎng)關(guān)還是客戶端的判斷,所以,不會(huì)出現(xiàn)認(rèn)證網(wǎng)關(guān)互相要求認(rèn)證的情形。身份認(rèn)證階段詳細(xì)工作流程。當(dāng)身份認(rèn)證模塊收到監(jiān)控模塊傳來的要求對(duì)客戶端用戶進(jìn)行認(rèn)證的通知后,向客戶端發(fā)出認(rèn)證請(qǐng)求,開始認(rèn)證過程。其處理流程如圖9所示,具體過程如下身份認(rèn)證模塊的認(rèn)證服務(wù)端發(fā)出一個(gè)請(qǐng)求給身份認(rèn)證模塊的認(rèn)證客戶端,要求認(rèn)證客戶端傳送該端用戶的證書ID號(hào);認(rèn)證客戶端響應(yīng)認(rèn)證服務(wù)端發(fā)出的請(qǐng)求,將用戶證書ID號(hào)送給認(rèn)證服務(wù)端進(jìn)行處理;認(rèn)證服務(wù)端收到證書ID號(hào)后,生成隨機(jī)數(shù)傳送給認(rèn)證客戶端;認(rèn)證客戶端的用戶收到由認(rèn)證服務(wù)端傳來的隨機(jī)數(shù)后,使用用戶X.509證書進(jìn)行簽名,并將簽名和證書一起傳給認(rèn)證服務(wù)端;認(rèn)證服務(wù)端進(jìn)行驗(yàn)簽,如果通過,則向已認(rèn)證用戶列表中添加該用戶信息,并加蓋時(shí)間戳,同時(shí)反饋認(rèn)證通過的消息給認(rèn)證客戶端,發(fā)出容許該IP地址在“活躍期”內(nèi)通過的指令,允許用戶的數(shù)據(jù)通過所述認(rèn)證網(wǎng)關(guān)訪問應(yīng)用系統(tǒng);否則,反饋認(rèn)證失敗的消息,并禁止該IP訪問應(yīng)用系統(tǒng)。本發(fā)明認(rèn)證網(wǎng)關(guān)的監(jiān)聽、認(rèn)證、路由流程步驟如下1)IP層監(jiān)控模塊偵測(cè)到,進(jìn)入IN端口的當(dāng)前IP數(shù)據(jù)包的源IP地址在“已認(rèn)證用戶列表”中并不存在時(shí),即有未認(rèn)證的或已過認(rèn)證“活躍期”的源IP地址訪問內(nèi)網(wǎng)時(shí),立即通知身份認(rèn)證模塊進(jìn)行認(rèn)證,并丟棄該IP數(shù)據(jù)包;2)身份認(rèn)證模塊發(fā)送“認(rèn)證請(qǐng)求”到該IP地址,要求該地址所在的用戶示證,“認(rèn)證請(qǐng)求”包括當(dāng)前認(rèn)證session號(hào),認(rèn)證隨機(jī)數(shù)等信息;3)認(rèn)證客戶端收到服務(wù)端發(fā)出的“認(rèn)證請(qǐng)求”,用自己的私鑰對(duì)認(rèn)證隨機(jī)數(shù)進(jìn)行簽名,并附上自己的證書,組成“簽名回應(yīng)”數(shù)據(jù)包,將“簽名回應(yīng)”包發(fā)送給認(rèn)證服務(wù)端;4)認(rèn)證服務(wù)端接收到客戶端發(fā)出的“簽名回應(yīng)”,首先使用根證書對(duì)“簽名回應(yīng)”數(shù)據(jù)包中的用戶證書進(jìn)行驗(yàn)證,通過驗(yàn)證的,就使用該證書對(duì)簽名進(jìn)行驗(yàn)簽,驗(yàn)簽成功則向已認(rèn)證用戶列表中添加該用戶信息,并加蓋時(shí)間戳,同時(shí)反饋認(rèn)證通過的消息給IP監(jiān)控模塊,發(fā)出容許該IP地址在“活躍期”內(nèi)通過的指令,允許用戶通過認(rèn)證網(wǎng)關(guān)訪問應(yīng)用系統(tǒng);5)否則,反饋認(rèn)證失敗的消息,并禁止該IP訪問應(yīng)用系統(tǒng);6)認(rèn)證服務(wù)端在每一個(gè)經(jīng)過認(rèn)證的IP地址即將超過認(rèn)證“活躍期”時(shí),重復(fù)從2)到5)的操作,保證了用戶與應(yīng)用系統(tǒng)通信過程中的定時(shí)自動(dòng)認(rèn)證,而且不影響網(wǎng)絡(luò)資源的使用;7)除了步驟6)的重新認(rèn)證策略即定時(shí)重新認(rèn)證,還可以選擇另一種重新認(rèn)證策略方案即在用戶通過認(rèn)證后,根據(jù)網(wǎng)絡(luò)流量來判斷用戶是否仍處在活躍狀態(tài),流量大于某一閥值的則認(rèn)為活躍,小于某一閥值的則認(rèn)為不活躍,已經(jīng)處于不活躍狀態(tài)的IP地址的用戶,其信息從已認(rèn)證用戶列表中刪除,再次訪問的時(shí)候則要求重新認(rèn)證;8)認(rèn)證通過后,IP層監(jiān)控模塊就將該IP地址的IP包的處理權(quán)移交給路由模塊,由路由模塊實(shí)施對(duì)該IP地址的IP包的路由轉(zhuǎn)發(fā)操作。本發(fā)明認(rèn)證網(wǎng)關(guān)設(shè)有用戶接口、外部接口、內(nèi)部接口。所述用戶接口主要為管理接口和硬件接口,分別描述如下管理接口向管理員提供基于IE瀏覽器模式的管理界面,使管理配置變得簡(jiǎn)明、方便;硬件接口向外提供三個(gè)RJ45接口,分別為連接公網(wǎng)的IN端口、連接應(yīng)用系統(tǒng)的OUT端口和連接適配服務(wù)器的M即管理配置端口。其中,INRJ45端口向接入用戶提供100M網(wǎng)絡(luò)接口;OUTRJ45端口向應(yīng)用系統(tǒng)提供100M網(wǎng)絡(luò)接口;MRJ45端口向管理系統(tǒng)提供管理配置、消息通知和審計(jì)端口。所述外部接口包括和客戶端服務(wù)器通訊接口,主要為用戶消息通知模塊接口,其接口定義如下●intBuild_Connection(int*sockFd,char*ip);功能說明建立網(wǎng)絡(luò)連接參數(shù)int*sockFd[OUT]連接描述符指針char*ip[IN]IP地址指針●intSend_Msg(int*sockFd,unsignedchar*pMsg,intmsgLen);功能說明發(fā)送數(shù)據(jù)報(bào)文參數(shù)int*sockFd[IN]連接描述符指針unsignedchar*pMsg[IN]數(shù)據(jù)報(bào)文指針intmsgLen數(shù)據(jù)報(bào)文長(zhǎng)度還包括和授權(quán)系統(tǒng)通訊接口,和授權(quán)系統(tǒng)的用戶信息數(shù)據(jù)結(jié)構(gòu)接口定義如下●插入用戶信息數(shù)據(jù)報(bào)文,其內(nèi)容如下表所示;●刪除用戶信息數(shù)據(jù)報(bào)文,其內(nèi)容如下表所示;其中命令碼標(biāo)志有INSERT(插入)、DELETE(刪除)兩種標(biāo)識(shí)。intRcv_User_Msg(int*sockFd,unsignedchar*pMsg,intmsgLen);功能說明接收用戶數(shù)據(jù),并按命令碼進(jìn)行相應(yīng)操作參數(shù)int*sockFd[IN]連接描述符指針unsignedchar*pMsg[IN]用戶數(shù)據(jù)報(bào)文指針intmsgLen用戶數(shù)據(jù)報(bào)文長(zhǎng)度內(nèi)部接口。由于本發(fā)明認(rèn)證網(wǎng)關(guān)程序模塊工作狀態(tài)有用戶態(tài)和內(nèi)核態(tài)兩種,其內(nèi)部接口主要為通過系統(tǒng)調(diào)用實(shí)現(xiàn)工作在內(nèi)核態(tài)的IP層監(jiān)控模塊和工作在用戶態(tài)的身份認(rèn)證模塊進(jìn)行消息通訊。所述內(nèi)部接口為IP層監(jiān)控和身份認(rèn)證模塊系統(tǒng)調(diào)用接口,由于本發(fā)明認(rèn)證網(wǎng)關(guān)身份認(rèn)證模塊工作在用戶態(tài),同時(shí)IP層監(jiān)控模塊工作在內(nèi)核態(tài),當(dāng)IP層監(jiān)控模塊監(jiān)聽到有新IP出現(xiàn),或者檢查到IP地址已過了“活躍期”時(shí),將通過系統(tǒng)調(diào)用通知身份認(rèn)證模塊進(jìn)行認(rèn)證,其接口描述如下asmlinkageintsys_rzwgSYSCALL(char*buf,intbuflen,unsignedintaccess);功能系統(tǒng)調(diào)用接口輸入char*bufIN/OUT數(shù)據(jù)緩沖區(qū)指針intbuflenIN/OUT數(shù)據(jù)緩沖區(qū)長(zhǎng)度unsignedintaccessIN操作類型返回值0成功非0失敗本發(fā)明為服務(wù)器形態(tài)的認(rèn)證網(wǎng)關(guān)。電源模塊采用雙電源冗余設(shè)計(jì),各獨(dú)立單元功率為150W,為系統(tǒng)提供50%功率冗余。電氣特性電壓允許范圍180-240V,電流瞬時(shí)波動(dòng)時(shí)間小于1S。液晶顯示屏提供設(shè)備狀態(tài)顯示窗口。權(quán)利要求1.一種認(rèn)證網(wǎng)關(guān),該認(rèn)證網(wǎng)關(guān)與用戶終端、適配服務(wù)器、應(yīng)用系統(tǒng)實(shí)現(xiàn)信息交互,其特征在于它包括IP層監(jiān)控模塊、身份認(rèn)證模塊、路由模塊、管理配置模塊、審計(jì)模塊和用戶消息通知模塊;所述IP層監(jiān)控模塊基于路由軟件的Netfilter框架的iptables的數(shù)據(jù)報(bào)文選擇系統(tǒng)改造而成,該IP層監(jiān)控模塊負(fù)責(zé)實(shí)現(xiàn)對(duì)進(jìn)入IN端口的IP層數(shù)據(jù)包進(jìn)行解析、監(jiān)控,決定是否允許其通過,此過程相對(duì)于接入用戶完全透明;所述身份認(rèn)證模塊由認(rèn)證客戶端和認(rèn)證服務(wù)端即認(rèn)證服務(wù)器兩部分組成,通過自定義的IP層專有認(rèn)證通訊協(xié)議,采用challenge/reply認(rèn)證模式,實(shí)現(xiàn)對(duì)用戶身份的基于X.509證書的本地認(rèn)證功能,認(rèn)證服務(wù)端包括一個(gè)已認(rèn)證用戶列表,其上記載著已認(rèn)證身份且在“活躍期”的用戶的信息;所述路由模塊,由管理BGP-4和BGP-4+協(xié)議的Bgpd子模塊、管理RIPv1,v2協(xié)議的Ripd子模塊、管理RIPng協(xié)議的Ripngd子模塊、管理OSPFv2協(xié)議的Ospfd子模塊、管理OSPFv3協(xié)議的ospf6d子模塊組成,實(shí)現(xiàn)動(dòng)態(tài)路由器的全部功能,包括IP數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)、基于OSPF、BGP協(xié)議的路由表動(dòng)態(tài)更新功能;所述用戶消息通知模塊在用戶通過所述認(rèn)證網(wǎng)關(guān)的身份認(rèn)證并得到相應(yīng)的授權(quán)后,將用戶信息及時(shí)通知給適配服務(wù)器;所述管理配置模塊主要完成對(duì)用戶、管理員基本信息和證書的管理,并能夠完成對(duì)路由信息的配置和實(shí)時(shí)監(jiān)控所述認(rèn)證網(wǎng)關(guān)的功能;對(duì)用戶的管理,需通過適配服務(wù)器中的日志服務(wù)器與授權(quán)模塊的協(xié)調(diào)工作來實(shí)現(xiàn);所述審計(jì)模塊完成兩種日志功能基于syslog日志協(xié)議的遠(yuǎn)程日志功能和本地日志功能;所述認(rèn)證網(wǎng)關(guān)在運(yùn)行時(shí),各模塊組合如下當(dāng)IP層監(jiān)控模塊在IN端口處偵測(cè)到對(duì)由外網(wǎng)到達(dá)認(rèn)證網(wǎng)關(guān)意欲進(jìn)入應(yīng)用系統(tǒng)的IP數(shù)據(jù)包,其源IP地址在已認(rèn)證用戶列表中并不存在時(shí),立即通過系統(tǒng)調(diào)用通知身份認(rèn)證模塊對(duì)該IP地址的用戶進(jìn)行身份認(rèn)證,并丟棄該IP數(shù)據(jù)包;當(dāng)身份認(rèn)證模塊在對(duì)用戶進(jìn)行身份認(rèn)證后,將調(diào)用消息通知接口實(shí)現(xiàn)和用戶消息通知模塊的組合,同時(shí)調(diào)用日志發(fā)送接口發(fā)送日志信息實(shí)現(xiàn)和審計(jì)模塊的組合;當(dāng)用戶通過身份認(rèn)證后,所述認(rèn)證網(wǎng)關(guān)通過系統(tǒng)調(diào)用實(shí)現(xiàn)和路由模塊的組合,并通過路由模塊轉(zhuǎn)發(fā)數(shù)據(jù)。2.如權(quán)利要求1所述的認(rèn)證網(wǎng)關(guān),其特征在于所述認(rèn)證網(wǎng)關(guān)采用全I(xiàn)P架構(gòu),其中IP層監(jiān)控模塊、身份認(rèn)證模塊和路由模塊工作在IP層;管理配置模塊、用戶消息通知模塊、審計(jì)模塊工作在應(yīng)用層。3.如權(quán)利要求1所述的認(rèn)證網(wǎng)關(guān),其特征在于所述認(rèn)證網(wǎng)關(guān),在第一個(gè)鉤子函數(shù)NF_IP_PRE_ROUTING[1]處掛接IP監(jiān)控處理函數(shù),所述IP層監(jiān)控模塊可對(duì)如下動(dòng)作步驟進(jìn)行判斷選擇一判斷是否是路由協(xié)議信息即對(duì)UDP頭的協(xié)議字段進(jìn)行判斷,如果是則不做任何操作,ip_rcv函數(shù)繼續(xù)向下運(yùn)行,即將該數(shù)據(jù)放行;否則進(jìn)入二;二判斷是否為自定義的認(rèn)證協(xié)議包即判斷skb->nh.iph->protocol字段,如果是則不做任何操作,放行數(shù)據(jù);否則進(jìn)入三;三判斷是否是到達(dá)本機(jī)IP的數(shù)據(jù),如果不是則進(jìn)入五;如果是則進(jìn)入四;四判斷是否是從管理端口接收到的數(shù)據(jù)即判斷skb->dev->name字段,如果是則放行,否則丟棄該sk_buff;五對(duì)源地址即skb->nh.iph->saddr字段進(jìn)行判斷,在內(nèi)核態(tài)的“已通過認(rèn)證IP鏈表”中如果有該IP地址就不做任何操作,ip_rcv函數(shù)繼續(xù)向下運(yùn)行,即將該數(shù)據(jù)放行,否則將該sk_buff丟棄,同時(shí)將該IP地址通知身份認(rèn)證模塊,由身份認(rèn)證模塊對(duì)該IP地址的用戶發(fā)出認(rèn)證請(qǐng)求。4.如權(quán)利要求1所述的認(rèn)證網(wǎng)關(guān),其特征在于當(dāng)身份認(rèn)證模塊收到IP層監(jiān)控模塊傳來的要求對(duì)客戶端用戶進(jìn)行認(rèn)證的通知后,向客戶端發(fā)出認(rèn)證請(qǐng)求,開始認(rèn)證,具體過程如下身份認(rèn)證模塊的認(rèn)證服務(wù)端發(fā)出一個(gè)請(qǐng)求給身份認(rèn)證模塊的認(rèn)證客戶端,要求認(rèn)證客戶端傳送該端用戶的證書ID號(hào);認(rèn)證客戶端響應(yīng)認(rèn)證服務(wù)端發(fā)出的請(qǐng)求,將用戶證書ID號(hào)送給認(rèn)證服務(wù)端進(jìn)行處理;認(rèn)證服務(wù)端收到證書ID號(hào)后,生成隨機(jī)數(shù)傳送給認(rèn)證客戶端;認(rèn)證客戶端的用戶收到由認(rèn)證服務(wù)端傳來的隨機(jī)數(shù)后,使用用戶X.509證書進(jìn)行簽名,并將簽名和證書一起傳給認(rèn)證服務(wù)端;認(rèn)證服務(wù)端進(jìn)行驗(yàn)簽,如果通過,則向已認(rèn)證用戶列表中添加該用戶信息,并加蓋時(shí)間戳,同時(shí)反饋認(rèn)證通過的消息給認(rèn)證客戶端,發(fā)出容許該IP地址在“活躍期”內(nèi)通過的指令,允許用戶的數(shù)據(jù)通過所述認(rèn)證網(wǎng)關(guān)訪問應(yīng)用系統(tǒng);否則,反饋認(rèn)證失敗的消息,并禁止該IP訪問應(yīng)用系統(tǒng)。5.如權(quán)利要求1所述的認(rèn)證網(wǎng)關(guān),其特征在于所述認(rèn)證網(wǎng)關(guān)設(shè)有用戶接口、外部接口、內(nèi)部接口。6.如權(quán)利要求1或5所述的認(rèn)證網(wǎng)關(guān),其特征在于所述用戶接口包括管理接口和硬件接口,該管理接口向管理員提供基于IE瀏覽器模式的管理界面;該硬件接口向外提供三個(gè)RJ45接口,分別為連接公網(wǎng)的IN端口、連接應(yīng)用系統(tǒng)的OUT端口和連接適配服務(wù)器的M即管理配置端口;其中,INRJ45端口向接入用戶提供100M網(wǎng)絡(luò)接口;OUTRJ45端口向應(yīng)用系統(tǒng)提供100M網(wǎng)絡(luò)接口;MRJ45端口向管理系統(tǒng)提供管理配置、消息通知和審計(jì)端口。7.如權(quán)利要求1或5所述的認(rèn)證網(wǎng)關(guān),其特征在于所述外部接口包括和客戶端服務(wù)器通訊接口,主要為用戶消息通知模塊接口,其接口定義如下intBuild_Connection(int*sockFd,char*ip),用于建立網(wǎng)絡(luò)連接,參數(shù)int*sockFd[OUT]連接描述符指針,char*ip[IN]IP地址指針;intSend_Msg(int*sockFd,unsignedchar*pMsg,intmsgLen),用于發(fā)送數(shù)據(jù)報(bào)文,參數(shù)int*sockFd[IN]連接描述符指針,unsignedchar*pMsg[IN]數(shù)據(jù)報(bào)文指針,intmsgLen數(shù)據(jù)報(bào)文長(zhǎng)度;還包括和授權(quán)系統(tǒng)通訊接口,和授權(quán)系統(tǒng)的用戶信息數(shù)據(jù)結(jié)構(gòu)接口定義如下插入用戶信息數(shù)據(jù)報(bào)文,其內(nèi)容如下表所示;刪除用戶信息數(shù)據(jù)報(bào)文,其內(nèi)容如下表所示;其中命令碼標(biāo)志有INSERT(插入)、DELETE(刪除)兩種標(biāo)識(shí);intRcv_User_Msg(int*sockFd,unsignedchar*pMsg,intmsgLen),用于接收用戶數(shù)據(jù),并按命令碼進(jìn)行相應(yīng)操作;參數(shù)int*sockFd[IN]連接描述符指針,unsignedchar*pMsg[IN]用戶數(shù)據(jù)報(bào)文指針,intmsgLen用戶數(shù)據(jù)報(bào)文長(zhǎng)度。8.如權(quán)利要求1或5所述的認(rèn)證網(wǎng)關(guān),其特征在于所述內(nèi)部接口為IP層監(jiān)控和身份認(rèn)證模塊系統(tǒng)調(diào)用接口,其接口定義如下asmlinkageintsys_rzwgSYSCALL(char*buf,intbuflen,unsignedintaccess);用于系統(tǒng)調(diào)用;輸入char*bufIN/OUT數(shù)據(jù)緩沖區(qū)指針,intbuflenIN/OUT數(shù)據(jù)緩沖區(qū)長(zhǎng)度,unsignedintaccessIN操作類型;返回值0成功,非0失敗。9.一種如權(quán)利要求1所述的認(rèn)證網(wǎng)關(guān)數(shù)據(jù)處理方法,其特征在于所述認(rèn)證網(wǎng)關(guān)的監(jiān)聽、認(rèn)證、路由流程步驟如下1)IP層監(jiān)控模塊偵測(cè)到,進(jìn)入IN端口的當(dāng)前IP數(shù)據(jù)包的源IP地址在已認(rèn)證用戶列表中并不存在時(shí),即有未認(rèn)證的或已過認(rèn)證“活躍期”的源IP地址訪問內(nèi)網(wǎng)時(shí),立即通知身份認(rèn)證模塊進(jìn)行認(rèn)證,并丟棄該IP數(shù)據(jù)包;2)身份認(rèn)證模塊發(fā)送“認(rèn)證請(qǐng)求”到該IP地址,要求該地址所在的用戶示證,“認(rèn)證請(qǐng)求”包括當(dāng)前認(rèn)證session號(hào),認(rèn)證隨機(jī)數(shù)信息;3)認(rèn)證客戶端收到服務(wù)端發(fā)出的“認(rèn)證請(qǐng)求”,用自己的私鑰對(duì)認(rèn)證隨機(jī)數(shù)進(jìn)行簽名,并附上自己的證書,組成“簽名回應(yīng)”數(shù)據(jù)包,將“簽名回應(yīng)”包發(fā)送給認(rèn)證服務(wù)端;4)認(rèn)證服務(wù)端接收到客戶端發(fā)出的“簽名回應(yīng)”,首先使用根證書對(duì)“簽名回應(yīng)”數(shù)據(jù)包中的用戶證書進(jìn)行驗(yàn)證,通過驗(yàn)證的,就使用該證書對(duì)簽名進(jìn)行驗(yàn)簽,驗(yàn)簽成功則向已認(rèn)證用戶列表中添加該用戶信息,并加蓋時(shí)間戳,同時(shí)反饋認(rèn)證通過的消息給IP監(jiān)控模塊,發(fā)出容許該IP地址在“活躍期”內(nèi)通過的指令,允許用戶通過認(rèn)證網(wǎng)關(guān)訪問應(yīng)用系統(tǒng);5)否則,反饋認(rèn)證失敗的消息,并禁止該IP訪問應(yīng)用系統(tǒng);6)認(rèn)證服務(wù)端在每一個(gè)經(jīng)過認(rèn)證的IP地址即將超過認(rèn)證“活躍期”時(shí),重復(fù)從2)到5)的操作,保證了用戶與應(yīng)用系統(tǒng)通信過程中的定時(shí)自動(dòng)認(rèn)證,而且不影響網(wǎng)絡(luò)資源的使用;7)除了步驟6)的重新認(rèn)證策略即定時(shí)重新認(rèn)證,還可以選擇另一種重新認(rèn)證策略方案即在用戶通過認(rèn)證后,根據(jù)網(wǎng)絡(luò)流量來判斷用戶是否仍處在活躍狀態(tài),流量大于某一閥值的則認(rèn)為活躍,小于某一閥值的則認(rèn)為不活躍,已經(jīng)處于不活躍狀態(tài)的IP地址的用戶,其信息從已認(rèn)證用戶列表中刪除,再次訪問的時(shí)候則要求重新認(rèn)證;8)認(rèn)證通過后,IP層監(jiān)控模塊就將該IP地址的IP包的處理權(quán)移交給路由模塊,由路由模塊實(shí)施對(duì)該IP地址的IP包的路由轉(zhuǎn)發(fā)操作。全文摘要本發(fā)明公開了一種認(rèn)證網(wǎng)關(guān)及其數(shù)據(jù)處理方法,它由IP層監(jiān)控模塊、身份認(rèn)證模塊、路由模塊、管理配置模塊、審計(jì)(日志)模塊和用戶消息通知模塊組成。IP層監(jiān)控模塊對(duì)所有進(jìn)入IN端口的IP數(shù)據(jù)包進(jìn)行監(jiān)控,檢查是否為新的客戶端IP地址出現(xiàn)。若非新的IP地址或已過認(rèn)證“活躍期”的IP地址出現(xiàn),則該IP包放行,否則將其丟棄。丟棄時(shí),將同時(shí)通知身份認(rèn)證模塊對(duì)該IP地址的用戶進(jìn)行基于數(shù)字證書的身份認(rèn)證,認(rèn)證結(jié)果反饋給IP層監(jiān)控模塊,監(jiān)控模塊據(jù)此作出對(duì)該IP地址的IP包是放行還是丟棄。這樣,使得只有通過身份認(rèn)證的用戶的IP包才能穿過認(rèn)證網(wǎng)關(guān)訪問應(yīng)用系統(tǒng)和獲取系統(tǒng)資源。文檔編號(hào)H04L9/32GK1620034SQ20031010878公開日2005年5月25日申請(qǐng)日期2003年11月21日優(yōu)先權(quán)日2003年11月21日發(fā)明者陸維林,顧青申請(qǐng)人:維豪信息技術(shù)有限公司,上海信息安全基礎(chǔ)設(shè)施研究中心