[发明专利]一种SSL VPN客户端安全检查方法、系统及其装置

说明书

技术领域

本发明涉及移动通信技术领域，特别是涉及一种SSL VPN客户端安全检查方法、系统及其装置。

背景技术

SSL(Security Socket Layer，安全套接字层)通过加密方式保护在互联网上传输的数据安全性，它可以自动应用在每一个浏览器上。VPN(VirtualPrivate Network，虚拟专用网络)则主要应用于虚拟连接网络，它可以确保数据的机密性并且具有一定的访问控制功能。过去，VPN总是和IPSec(Internet Protocol Security，因特网协议安全)联系在一起，因为它是VPN加密信息实际用到的协议。IPSec运行于网络层，IPSec VPN则多用于连接两个网络或点到点之间的连接。到目前为止，SSL VPN是解决远程用户访问敏感公司数据最简单最安全的解决技术。与复杂的IPSec VPN相比，SSL通过简单易用的方法实现信息远程连通。任何安装浏览器的机器都可以使用SSLVPN，这是因为SSL内嵌在浏览器中，它不需要象传统IPSec VPN一样必须为每一台客户机安装客户端软件。这一点对于拥有大量机器(包括家用机，工作机和客户机等等)需要与公司机密信息相连接的用户至关重要。

SSL VPN目前实现了对客户端的安全评估，当用户通过SSL VPN远程接入访问内部相应的网络资源时，不安全客户端接入将有可能造成核心机密的泄漏和网络病毒的传播，对内网的网络安全和信息安全造成很大威胁。为解决这个问题，现有的SSL VPN产品在普通用户登录时可以通过插件对客户端操作系统版本，注册表键值、客户端安全软件的部署等情况进行检查，对客户端的安全性进行评估并确认其能够访问哪些资源。

其中，该SSL VPN产品具体可以提供检查的可选项目有：

操作系统的类型、版本以及安装的补丁；

浏览器的类型、版本以及安装的补丁；

防病毒软件的安装；

防火墙软件的安装；

是否持有由指定颁发者颁发的数字证书；

是否有指定的文件；

是否有指定的进程。

以上各项可以任选一项或多项，在选择后只有选择的各项都符合条件的用户才被允许登录。用户在登录过程中，调用ActiveX插件进行安全检查；通过一定级别的安全策略检查后，受到该安全策略保护的资源与用户所拥有访问权限的资源的交集对用户来说就是可见的，否则用户无权登录和访问相关资源。

在实现本发明过程中，发明人发现现有技术中至少存在如下缺点：缺点一：现有技术中的SSL VPN产品所能执行的检查功能有限，无法实现与防病毒软件和防火墙软件的强联动，无法实现病毒库自动升级和对病毒感染情况的实时监控。缺点二：检查操作系统补丁之后，如果补丁没有打全无法接入内网服务器，无法实现补丁自动升级。缺点三：资源的重复分配，在用户所属的用户组中资源已经被配置；如果要实施安全策略则还需要再配置资源与策略的对应关系，在登录时再使用两种资源的交集，配置不便。缺点四：目前的ActiveX插件只在用户登陆的过程中进行一些静态检查，没有监控到用户上线之后客户端安全信息的变化，不能做到定时检查实时监控，存在一定的安全隐患。

发明内容

本发明实施例供一种SSL VPN客户端安全检查方法、系统及其装置，解决现有技术中SSL VPN产品所能执行的检查功能有限，资源重复分配和在用户上线后无法实施监控的问题。