基於代理網關對訪問請求進行控制的方法及裝置的製作方法
2023-05-02 07:40:31 2
專利名稱:基於代理網關對訪問請求進行控制的方法及裝置的製作方法
技術領域:
本發明涉及通信領域,特別涉及一種基於Https訪問請求進行控制的方法及裝置。
背景技術:
隨著網際網路技術的發展,用戶對網際網路提供規模更大,形式更豐富的服務的需求也在不斷增長。目前,通常採用WAP(Wireless Application Protocol,無線應用協議)網關作為終端用戶的上網代理,WAP網關最基本的功能是作為終端的代理伺服器,代理終端訪問WAP網站和網際網路內容,提供基本的http代理服務和WAP1. X的協議轉換功能。為了保護用戶的私密數據,WAP網關提供了 https請求的加密數據訪問通道,稱為TLSCTransportLayer Security Protocol,安全傳輸層協議)隧道,用戶通過TLS隧道兩端的進行密鑰協商,傳輸過程中以加密數據進行傳輸,使得用戶重要數據得以保護。但https (指使用了 TLS加密的http服務)代理服務自身存在的缺陷,即HTTPCONNECT代理伺服器是一種能夠允許用戶建立TCP連接到任何埠的代理伺服器,這意味著這種代理不僅可用於http代理服務,還可以用於FTP、IRC、RM流服務等,甚至可以用於掃描、攻擊,如,終端可以利用WAP網關對Https請求數據不能進行處理的缺陷,使用HTTPCONNECT代理對WAP網關重要系統進行掃描,攻擊等。有鑑於此,需要設計一種新的方式,對發往WAP網站的TLS請求(即使用的TLS加密的https請求)進行控制,對部分非法的TLS請求及時進行封堵,以達到保護系統安全的目的。
發明內容
本發明實施例提供基於代理網關對https訪問請求進行控制的方法及裝置,用於提高代理網關應用系統的安全性。本發明實施例提供的具體技術方案如下基於代理網關對https訪問請求進行控制的方法,包括代理網關接收終端發送的用於建立TLS連接的https訪問請求,所述https訪問請求中至少攜帶有二元組控制參數;代理網關根據預設的篩選策略,判斷所述https訪問請求攜帶的二元組控制參數是否合法,若是,則允許所述終端通過所述https訪問請求建立TLS連接,否則拒絕所述終端通過所述https訪問請求建立TLS連接。基於代理網關對https訪問請求進行控制的裝置,包括通信單元,用於接收終端發送的用於建立TLS連接的https訪問請求,所述https訪問請求中至少攜帶有二元組控制參數;控制單元,用於根據預設的篩選策略,判斷所述https訪問請求攜帶的二元組控制參數是否合法,若是,則允許所述終端通過所述https訪問請求建立TLS連接,否則拒絕、所述終端通過所述https訪問請求建立TLS連接。本發明實施例中,在代理網關中增設了 TLS訪問控制功能,可以使用預設的二元組控制參數靈活地管理和控制用於建立TLS連接的https訪問請求,從而有效地對非法TLS連接進行封堵,為代理網關運行系統提供了更為靈活的保護措施,提高了代理網關業務控制流程的安全性和靈活性。
圖I為本發明實施例中WAP網關應用系統體系架構不意圖;圖2為本發明實施例中WAP網關功能結構示意圖;圖3為本發明實施例中WAP網關對Https訪問請求進行控制示意流程圖;圖4為本發明實施例中WAP網關對Https訪問請求進行控制詳細流程圖。
具體實施例方式為了實現代理網關對Https訪問請求的控制,防止終端通過TLS隧道對代理網關進行非正常操作,從而提高代理網關應用系統的安全性,本發明實施例中,代理網關接收終端發送用於建立TLS連接的的https訪問請求,該https訪問請求中至少攜帶有二元組控制參數,代理網關根據預設的篩選策略,判斷接收的https訪問請求攜帶的二元組控制參數是否合法,若是,則允許終端通過該https訪問請求建立TLS連接,否則,拒絕終端通過該https訪問請求建立TLS連接。本發明實施例中,所謂的代理網關可以是WAP網關,也可以是WEB網關,而所謂的二元組控制參數可以包括終端請求訪問的域名和埠號,也可以是終端請求訪問的IP位址和埠號;埠號可以按照埠號號段配置。另一方面,本發明實施例中,為了令代理網關具有對https訪問請求的控制功能,可以採用SP(SerVer Provide,服務提供)列表的形式記錄代理網關使用的篩選策略,篩選策略可以設置為黑名單,也可以設置為白名單,兩者任選其中,但不可同時使用,所謂的黑名單是指不允許採用SP列表中記錄的二元組控制參數建立TLS連接,而所謂白名單是指僅允許使用SP列表中記錄的二元組控制參數建立TLS連接;進一步地,SP列表中還可以設置有用於指示是否啟動TLS連接控制功能的配置參數;當代理網關啟動後,讀取並加載預設的SP列表,以及按照SP列表的配置內容對終端發送的用於建立TLS連接的https訪問請求進行相應控制。下面以代理網關是WAP網關為例,結合附圖對本發明優選的實施方式進行詳細說明。參閱圖I所示,本發明實施例中,WAP網關應用系統中包括終端和WAP網關,其中,終端用於通過WAP網關向請求各種http應用服務,WAP網關用於對終端的http訪問請求進行TLS訪問控制,如圖I所示,WAP網關應用系統中還包括SP Server,用於存儲各類http服務資源,與通過WAP網關篩選的終端建立TLS連接,將通過該TLS連接向終端提供本地存儲的http服務資源。若代理網關為WEB網關,則上述系統架構同樣適用於WEB應用系統,在此不再贅述。參閱圖2所示,本發明實施例中,7、WAP網關中設置有通信單元20和控制單元21,、其中,通信單元20,用於接收終端發送的用以建立TLS連接的https訪問請求,該https訪問請求中至少攜帶有二元組控制參數;控制單元,用於根據預設的篩選策略,判斷接收的https訪問請求攜帶的二元組控制參數是否合法,若是,則允許終端通過該https訪問請求建立TLS連接,否則拒絕終端通過該https訪問請求建立TLS連接。若代理網關為WEB網關,同樣適用於上述WAP網關中設置的各種功能單元,在此不再贅述。參閱圖3所示,本發明實施例,WAP網關對終端發送的https訪問請求進行控制的示意流程如下步驟300 :WAP網關接收終端發送的用於建立TLS連接的https訪問請求,該https訪問請求中至少攜帶有二元組控制參數。本實施例中,為了安全起見,WAP網關支持radius服務(上線鑑權服務),即WAP網關在收到終端發送的https訪問請求後,查詢到該終端的MSISDN(如,手機號),並在確定該終端的MSISDN合法後,再執行步驟310。另一方面,WAP網關接收終端發送的https訪問請求後,也可以根據SP列表中記錄的配置參數,確定本地啟動了 TLS訪問控制功能時,再執行步驟310。步驟310 =WAP網關根據預設的篩選策略,判斷接收的https訪問請求攜帶的二元組控制參數是否合法,若是,則允許終端通過該https訪問請求建立TLS連接,否則,拒絕終端通過該https訪問請求建立TLS連接。本實施例中,WAP網關執行根據預設的篩選策略,判斷接收的https訪問請求攜帶的二元組控制參數是否合法時,執行以下操作若篩選策略設置為黑名單策略,則WAP網關判斷https訪問請求消息中攜帶的二元組控制參數是否記錄在黑名單中,若是,則確定該二元組控制參數不合法,否則,確定該二元組控制參數合法;若篩選策略設置為白名單策略,則WAP網關判斷https訪問請求消息中攜帶的二元組控制參數是否記錄在白名單中,若是,則確定該二元組控制參數合法,否則,確定該所述二元組控制參數不合法。基於上述實施例,參閱圖4所示,本發明實施例中,WAP網關對終端發送的https訪問請求進行控制的詳細流程如下步驟400 WAP網關接收終端發送的https訪問請求。步驟410 WAP網關判斷接收的https訪問請求是否是請求建立TLS連接的請求消息,若是,則進行步驟430 ;否則,進行步驟420。本實施例中,WAP網關可以根據https訪問請求中指定的標誌位來確定該https訪問請求是否用於請求建立TLS連接。步驟420 WAP網關對所述https訪問請求進行業務訪問控制。步驟430 =WAP網關判斷本地是否啟用了 TLS訪問控制功能?若是,則進行步驟480 ;否則,進行步驟440 ;本實施例中,啟用/關閉TLS訪問控制功能的按鈕可以設置在操作界面上,管理人、員可以根據實際需要,啟用/關閉TLS訪問控制功能,不需要重啟整個業務系統,即時生效。步驟440 =WAP網關判斷本地配置的篩選策略為黑名單策略還是白名單策略,若是黑名單策略,則執行步驟450 ;若是白名單策略,則執行步驟460。步驟450 :WAP網關判斷https訪問請求中攜帶的請求建立連接的二元組控制參數是否記錄在黑名單中?若是,則執行步驟470 ;否則,執行步驟480 ;步驟460 ;WAP網關判斷https訪問請求中攜帶的請求建立連接的二元組控制參數是否記錄在白名單中?若是,則執行步驟480 ;否則,執行步驟470 ;步驟470 ;WAP網關拒絕終端建立TLS連接,接著,執行步490。WAP網關執行步驟470時,向終端返回拒絕建立TLS連接的響應消息,並斷開本地與終端之間的通信連接,如,TCP連接。步驟480 =WAP網關允許終端建立TLS連接,接著,執行步驟490。執行步驟480時,WAP網關指示終端與其請求建立TLS連接的SP Server建立TLS隧道(即TLS連接),並在建立TLS隧道後,指示終端直接與SP Server通過TLS隧道進行數據交互,無需再經過WAP網關;步驟490 =WAP網關將TLS訪問控制流程的執行結果記錄在日誌文件中。在日誌文件中,WAP網關會記錄TLP隧道的訪問記錄(也稱為https訪問內容),包含訪問內容、訪問開始時間、結束時間、訪問結果(如,TLS隧道建立是否成功或被拒絕)
等等信息,用於後續管理操作。當然,對於WEB網關,上述實施例中記錄的流程同樣適用,在此不再贅述。本發明實施例中,上述TLS連接兼容SSL (Secure Sockets Layer,安全套接層)相關協議,因此,同樣適用於採用SSL相關轉文的網絡環境,在此亦不再贅述。本發明實施例中,在代理網關中增設了 TLS訪問控制功能,可以使用預設的二元組控制參數靈活地管理和控制用於建立TLS連接的https訪問請求,從而有效地對非法TLS連接進行封堵,為代理網關運行系統提供了更為靈活的保護措施,提高了代理網關業務控制流程的安全性和靈活性。進一步地,整個TLS訪問控制流程不需要運營商參與,並且對終端用戶透明,對非法的https訪問請求可以直接拒絕,從而保護了運營商的設備和運行系統的安全,並且不僅僅適應於WAP網關應用系統,其他所有應用到TLS訪問的應用系統都可以使用本發明進行非法TLS連接封堵,保護對應的系統從而提高了業務訪問控制的靈活性,為用戶提供更為安全的http服務。顯然,本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發明的精神和範圍。這樣,倘若本發明的這些修改和變型屬於本發明權利要求及其等同技術的範圍之內,則本發明也意圖包含這些改動和變型在內。權利要求
1.基於代理網關對https訪問請求進行控制的方法,其特徵在於,包括 代理網關接收終端發送的用於建立安全傳輸層協議TLS連接的https訪問請求,所述https訪問請求中至少攜帶有ニ元組控制參數; 代理網關根據預設的篩選策略,判斷所述https訪問請求攜帯的ニ元組控制參數是否合法,若是,則允許所述終端通過所述https訪問請求建立TLS連接,否則拒絕所述終端通過所述https訪問請求建立TLS連接。
2.如權利要求I所述的方法,其特徵在於,所述代理網關為WAP網關,或者,為WEB網關。
3.如權利要求I所述的方法,其特徵在於,所述ニ元組控制參數包括終端請求訪問的域名和埠號,或者,終端請求訪問的IP位址和端ロ號。
4.如權利要求1、2或3所述的方法,其特徵在於,所述代理網關接收終端發送的https訪問請求後,確定本地啟動了 TLS訪問控制功能時,再根據預設的篩選策略,判斷所述https訪問請求攜帶的ニ元組控制參數是否合法。
5.如權利要求1、2或3所述的方法,其特徵在於,所述代理網關根據預設的篩選策略,判斷所述https訪問請求攜帶的ニ元組控制參數是否合法,包括 若所述篩選策略設置為黑名單策略,則所述代理網關判斷所述ニ元組控制參數是否記錄在黑名單中,若是,則確定所述ニ元組控制參數不合法,否則,確定所述所述ニ元組控制參數合法; 若所述篩選策略設置為白名單策略,則所述代理網關判斷所述ニ元組控制參數是否記錄在白名單中,若是,則確定所述ニ元組控制參數合法,否則,確定所述所述ニ元組控制參數不合法。
6.如權利要求1、2或3所述的方法,其特徵在於,所述代理網關允許所述終端通過所述https訪問請求建立TLS連接,包括指示所述終端與相應的服務提供伺服器建立TLS連接,並在建立TLS連接後,指示終端直接與所述服務提供伺服器進行數據交互; 所述代理網關拒絕所述終端通過所述https訪問請求建立TLS連接,包括所述代理網關向所述終端返回拒絕建立TLS連接的響應消息,並斷開本地與所述終端的通信連接。
7.基於代理網關對https訪問請求進行控制的裝置,其特徵在於,包括 通信単元,用於接收終端發送的用於建立安全傳輸層協議TLS連接的https訪問請求,所述https訪問請求中至少攜帶有ニ元組控制參數; 控制單元,用於根據預設的篩選策略,判斷所述https訪問請求攜帶的ニ元組控制參數是否合法,若是,則允許所述終端通過所述https訪問請求建立TLS連接,否則拒絕所述終端通過所述https訪問請求建立TLS連接。
8.如權利要求7所述的裝置,其特徵在於,所述裝置為WAP網關,或者,為WEB網關。
9.如權利要求7所述的裝置,其特徵在幹,所述通信単元接收到的ニ元組控制參數包括終端請求訪問的域名和埠號,或者,終端請求訪問的IP位址和端ロ號。
10.如權利要求7、8或9所述的裝置,其特徵在幹,所述通信単元接收終端發送的https訪問請求後,所述控制單元確定本地啟動了 TLS訪問控制功能時,再根據預設的篩選策略,判斷所述https訪問請求攜帶的ニ元組控制參數是否合法。
11.如權利要求7、8或9所述的裝置,其特徵在於,所述控制単元根據預設的篩選策略,判斷所述https訪問請求攜帶的ニ元組控制參數是否合法,包括 若所述篩選策略設置為黑名單策略,則所述控制單元判斷所述ニ元組控制參數是否記錄在黑名單中,若是,則確定所述ニ元組控制參數不合法,否則,確定所述所述ニ元組控制參數合法; 若所述篩選策略設置為白名單策略,則所述控制單元判斷所述ニ元組控制參數是否記錄在白名單中,若是,則確定所述ニ元組控制參數合法,否則,確定所述所述ニ元組控制參數不合法。
12.如權利要求7、8或9所述的裝置,其特徵在於,所述控制単元允許所述終端通過所述https訪問請求建立TLS連接,包括通過所述通信單元指示所述終端與相應的服務提供伺服器建立TLS連接,並在建立TLS連接後,指示終端直接與所述服務提供伺服器進行數據交互; 所述控制單元拒絕所述終端通過所述https訪問請求建立TLS連接,包括通過所述通信単元向所述終端返回拒絕建立TLS連接的響應消息,並斷開本地與所述終端的通信連接。
全文摘要
本發明涉及通信領域,公開了一種基於代理網關對http訪問請求進行控制的方法,用以提高代理網關應用系統的安全性。該方法為代理網關接收終端發送的用於建立TLS連接的https訪問請求,代理網關根據預設的篩選策略,判斷https訪問請求攜帶的二元組控制參數是否合法,若是,則允許終端通過所述https訪問請求建立TLS連接,否則拒絕終端通過所述https訪問請求建立TLS連接。這樣,便可以使用預設的二元組控制參數靈活地管理和控制用於建立TLS連接的https訪問請求,有效地對非法TLS連接進行封堵,為代理網關運行系統提供了更為靈活的保護措施,提高了代理網關業務控制流程的安全性和靈活性。
文檔編號H04L29/08GK102685165SQ20111006334
公開日2012年9月19日 申請日期2011年3月16日 優先權日2011年3月16日
發明者海永軍, 郭孟振, 黃曉兵 申請人:中興通訊股份有限公司