专利名称:一种网络资源访问控制方法、装置及相关设备的制作方法
技术领域:
本发明涉及网络信息安全技术领域,尤其涉及一种网络资源访问控制方法、装置及相关设备。
背景技术:
虚拟专用网络(VPN,Virtual Private Network)被定义为通过公用网络(可以为因特网)建立临时的、安全的连接,是一条穿过公用网络的安全、稳定隧道。VPN可以帮助远程用户、公司分支结构等同公司的内部网建立可见的安全连接。安全套接层(SSL,Secure Sockets Layer)是一套因特网数据安全协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,通过加密方法保护在因特网上传输的数据安全性。SSL VPN是一种采用SSL加密连接实现远程访问的VPN技术。SSL VPN的功能如图1所示。其中,远程主机与SSL VPN网关终结了 SSL连接,SSL VPN网关通过与内网服务
器(服务器1、服务器2......服务器N)建立传输控制协议(TCP,Transmission Control
Protocol)连接或者直接通过因特网协议(IP,International Protocol)转发,以明文方式传送远程主机发来的请求,并将内网服务器的应答通过SSL连接发送给远程主机。为了增强网络资源访问的安全性,SSL VPN网关通过存储允许访问的统一资源定位符(URL,Uniform Resource Locator)列表对远程主机访问的网络资源进行控制。当SSL VPN网关接收到远程主机发送的访问请求时,SSL VPN网关判断访问请求中携带的URL是否存在于自身存储的允许访问URL列表中,如果存在,则允许远程主机访问该URL对应的内容,否则,禁止远程主机访问该URL对应的内容。由于允许访问的URL对应的页面中可能包含有其它URL链接,当远程主机基于允许访问的URL对应的页面,访问其包含的URL时,如果SSL VPN网关存储的允许访问的URL 中没有该外部URL时(即根据SSL VPN存储的允许访问的URL列表中不包括该URL),将导致SSL VPN网关禁止远程主机访问该外部URL的内容,但是由于远程主机基于允许访问的URL对应的页面访问该URL,能够保证网络资源访问的安全性,是允许远程主机访问的。 例如,在SSL VPN网关上存储的允许访问URL列表中包含www. ruijie. net,当远程主机通过向SSL VPN网关提交包含URL地址为https://sslvpn/www. ruijie. net的访问请求,请求SSL VPN网关代理访问www. ruijie. net时,SSL VPN网关接收到远程主机提交的访问请求之后,由于自身存储的允许访问URL列表中存在書ruijie. net,便允许远程主机访问 www. ruijie. net,同时向www. ruijie. net服务器发送访问请求。SSL VPN网关接收到www. ruijie. net服务器的回复后,修改www. ruijie. net服务器回复的网页中的URL(在URL 的地址部分加入前缀=Sslvpn/),并将修改后的网页推送给远程主机。www. ruijie. net服务器回复的网页中可能包含httpS://SSlVpn/WWW. baidu. com,此时,若远程主机通过网页 www. ruijie. net i方问 https //sslvpn/www. baidu. com,如果在 SSL VPN 网关上存储的允许访问URL列表中不存在www. baidu. com时,将禁止远程主机访问www. baidu. com,而实际上允许用户通过www. ruijie. net访问www. baidu. com,即允许用户通过允许访问的URL对应的页面访问该允许访问的URL对应的页面中包含的URL。为了解决上述问题,现有技术提出了以下两种解决方案1)手动配置URL类表,根据允许访问的URL的内容,在SSLVPN网关上依次手动添加该允许访问的URL对应的页面中包含的URL,但是手动配置方法操作繁琐,如果允许访问的URL对应的页面发生改变,还需要对比原来的URL对应的页面并手动进行添加或者删除;2)关闭授权,关闭授权后远程主机可以不受限制的访问所有的URL,这样,将降低网络资源访问的安全性。由上述描述可知,如何准确识别远程主机是否是基于允许访问的URL对应的页面访问不存在于允许访问URL列表中的URL,以简化网络侧设备授权流程,保证网络资源访问安全性,成为现有技术中亟待解决的技术问题之一。
发明内容
本发明实施例提供一种网络资源访问控制方法、装置及相关设备,用以准确识别远程主机是否基于允许访问的URL对应的页面访问不存在于允许访问URL列表中的URL,以简化网络侧设备关授权流程,保证网络资源访问的安全性。本发明实施例提供一种网络资源访问控制方法,包括安全套接层虚拟专用网络网络侧设备接收远程主机提交的第一统一资源定位符 URL,所述第一 URL中包含待验证授权标签信息;并 提取所述待验证授权标签信息;所述网络侧设备判断所述待验证授权标签信息与所述第一 URL对应的授权标签信息是否匹配,如果是,允许所述远程主机访问所述第一 URL对应的页面,如果否,禁止所述远程主机访问所述第一 URL对应的页面。本发明实施例提供一种网络资源访问控制装置,包括第一接收单元,用于接收远程主机提交的第一统一资源定位符URL,所述第一 URL 中包含待验证授权标签信息;提取单元,用于提取所述待验证授权标签信息;第一判断单元,用于判断所述待验证授权标签信息与所述第一 URL对应的授权标签信息是否匹配;第一处理单元,用于在所述第一判断单元的判断结果为是时,允许所述远程主机访问所述第一 URL对应的页面;以及在所述第一判断单元的判断结果为否时,禁止所述远程主机访问所述第一 URL对应的页面。本发明实施例提供一种网络设备,包括上述网络资源访问控制装置。本发明实施例提供的网络资源访问控制方法、装置及相关设备,通过在URL中增加一个授权标签信息,当远程主机需要访问该URL对应的页面时,向网络侧设备提交该 URL,网络侧设备提取该远程主机提交的URL中包含的待验证授权标签信息,并将提取到的待验证标签信息与该URL对应的授权标签信息进行匹配,如果匹配则允许远程主机访问该 URL对应的页面,否则,禁止远程主机访问该URL对应的页面,通过上述过程,能够准确识别出远程主机是否是基于允许访问的URL对应的页面访问该URL,从而实现了对网络资源访问的动态授权,简化了网络侧设备授权流程,同时保证了网络资源访问的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
图1为现有技术中,SSL VPN的功能示意图;图2为本发明实施例中,网络资源访问控制方法的实施流程示意图;图3为本发明实施例中,远程主机通过SSL VPN网关访问URLl和URL2的实施流程示意图;图4为本发明实施例中,网络资源访问控制装置的结构示意图。
具体实施例方式为了在远程主机通过允许访问的URL访问允许访问不存在于URL列表中的URL 时,简化网络侧设备授权流程,保证网络资源访问的安全性,本发明实施例提供了一种网络资源访问控制方法及相关设备。为了在远程主机访问网络资源的过程中,准确区分远程主机是否是基于允许访问的URL对应的页面访问不存在于URL列表中的URL,以简化网络侧设备授权流程,保证网络资源访问的安全性,本发明实施例通过网络侧设备在允许访问的URL对应的页面中包含的 URL中添加一个授权标签信息,其中,该授权标签信息可以是URL的一个分层也可以是一个参数字段等。当远程主机向网络侧设备提交需要访问的页面的URL时,网络侧设备可以提取该URL中包含的授权标签信息,并与该URL对应的授权标签信息进行匹配,如果匹配,则说明远程主机是通过允许访问的URL对应的页面发起的请求,该URL对应的页面是安全的, 因此,网络侧设备将允许该远程主机访问该URL对应的页面,否则,网络侧设备将禁止远程主机访问该URL对应的页面。以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。如图2所示,为本发明实施例提供的网络资源访问控制方法的实施流程示意图, 包括以下步骤S201、网络侧设备接收远程主机提交的第一 URL,该第一 URL中包含待验证授权标
签信息;具体的,远程主机通过网络侧设备访问某一 URL对应的页面时,首先通过浏览器向网络侧设备提交该URL;S202、网络侧设备提取该第一 URL中包含的待验证授权标签信息;S203、网络侧设备判断该待验证授权标签信息与该第一 URL对应的授权标签信息是否匹配,如果是,执行步骤S104,如果否,执行步骤S105 ;S204、允许该远程主机访问该第一 URL对应的页面;S205、禁止该远程主机访问该第一 URL对应的页面。较佳地,步骤S203中涉及的该第一 URL对应的授权标签信息可以按照如下过程生成步骤一、网络侧设备接收远程主机提交的第二 URL,该第二 URL对应的页面中包含该第一 URL对应的原始URL ;其中,第一 URL对应的原始URL即为添加授权标签信息之前的URL。步骤二、网络侧设备确定该第二 URL在自身存储的允许访问URL列表中时,生成原始URL对应的授权标签信息,并将该生成的授权标签信息确定为第一 URL对应的授权标签 fn息ο具体实施中,当网络侧设备上生成该原始URL对应的授权标签信息之后,还可以包括以下步骤网络侧设备将该授权标签信息添加至该原始URL中,得到第一 URL,并将包含第一 URL的第二URL对应的页面推送给该远程主机。即在网络侧设备推送给远程主机的第二URL 页面中,已将其包含的URL添加了授权标签信息。特别地,网络侧设备在判断待验证授权标签信息与第一 URL对应的授权标签信息是否匹配之前,需要确定该待验证授权标签信息与授权标签信息的预设值是否相同。假设授权标签信息为URL分层,URL分层即为URL中以“/”划分开的一段内容,例如,添加授权标签信息之前的URL为https://sslVpn/WWW. ruijie. net,则添加授权标签信息之后的URL 为 https//sslvpn/authinfoofhost/www. ruijie. net,其中,authinfoofhost 艮口为授权标签信息,其预设值为0(预设值可以任意指定,只要能够标识当前的URL为远程主机直接通过浏览器向网络侧设备提交URL,请求访问该URL对应的页面即可)。当网络侧设备确定远程主机提交的URL中包含的待验证授权标签信息与预设值相同时,则说明该远程主机为直接通过浏览器直接提交URL,请求访问该URL对应的页面,此时,网络侧设备需要判断远程主机提交的URL是否存在于自身存储的允许访问URL列表中,如果是,则网络侧设备允许远程主机访问该URL对应的页面,如果否,网络侧设备不允许远程主机访问该URL对应的页面;当SSL网关确定远程主机提交的URL中包含的待验证授权标签信息与预设值不同时,则说明远程主机不是直接通过浏览器直接提交URL,此时,网络侧设备需要判断远程主机提交的URL中包含的待验证授权标签信息与该URL对应的授权标签信息是否相同,如果相同,则说明远程主机是基于允许访问的URL页面发起的请求,网络侧设备允许该远程主机访问该 URL对应的页面,如果不同,网络侧设备禁止该远程主机访问该URL对应的页面。需要说明的是,本发明实施例涉及的网络侧设备可以为SSL VPN网关,但是本发明实施例提供的资源访问控制的方法,不仅适用于SSL VPN网关,对于采用TOB代理需要进行授权的操作均适用。为了便于描述,以下以网络侧设备为SSL VPN网关为例进行说明。具体的,假设URLl存在于SSL VPN网关允许访问的URL列表中,URL2不存在于SSL VPN网关允许访问的URL列表中,且URLl对应的页面中包含有URL2的链接。当远程主机向SSL VPN网关发送URLl访问请求时,假设URLl的地址为https ://sslvpn/0/hostl,SSL VPN网关接收到远程主机提交的URLl之后,提取URL中包含的授权标签信息(其值为0), 由于授权标签信息与预设值相同,则SSL VPN网关判断URLl是否存在与SSL VPN网关存储的允许访问的URL列表中,当确定出URLl存在于允许访问的URL列表中时,SSL VPN网关允许远程主机访问URLl对应的页面,并向地址为hostl的服务器发送请求,SSL VPN网关接收到地址为hostl的服务器返回的URLl对应的页面之后,修改该页面中包含的所有URL(包括URU),具体的,SSL VPN网关针对该页面中包含的每个URL,生成该URL对应的授权标签信息,并将生成的授权标签信息添加到该URL中,并将添加了授权标签信息的页面推送给远程主机,以URL2为例,假设URL2对应的服务器地址为host2,则添加了授权标签信息之后的 URL2 地址为 https://sslvpn/authinfoofhost2/host2,其中 authinfoofhost2 艮口为 SSL VPN网关为URL2生成的授权标签信息。当远程主机基于URL对应的页面访问URL2时,即远程主机在URL对应的页面上直接点击URL2的链接,将URL2提交给SSL VPN网关,由于此时URL2的地址为 https//sslvpn/authinfoofhost2/host2, SSL VPN网关提取其中的待验证授权标签信息 authinfoofhost2,并与URL2对应的授权标签信息匹配,如果匹配,则允许远程主机访问 URL2对应的页面。如果远程主机通过浏览器直接访问URL2时,此时,URL2对应的地址为 https://sslvpn/0/host2, SSL VPN网关提取其中的待验证授权标签信息(其值为0),由于待验证授权标签信息与预设值相同,则SSL VPN网关判断URL2是否存在于自身存储的允许访问的URL列表中,由于URL2不存在于允许访问的URL列表中,则SSL VPN网关禁止远程主机访问URL2对应的页面。本发明实施中,对于SSL VPN网关为每个URL生成授权标签信息以及对授权标签信息进行匹配的算法不进行限定,只要是生成的授权标签信息能够认证当前请求问问的 URL即可。以下通过具体的实施例对SSL VPN网关为每个URL生成授权标签信息以及对授权标签信息进行匹配的过程进行说明。假设www. ruijie. net为远程主机原始请求访问的URLl,www. baidu. com为远程主机基于URLl对应的页面访问的URL2,其中一种生成授权标签信息的方法如下步骤一、输入mm. ruijie. net,使用A算法输出一个值R1,其中A算法可以为输入一段字符串后,首先使用消息摘要算法第5版(MD5)算法,产生一个1 位的信息摘要, 将摘要分成4组,每组32位,每组之间相互异或后得到一个32位的输出。例如,输入 ruijie. net,使用 MD5 算法产生一个 128 为的信息摘要265014bl4770be3e99f03539b763 f4fe (此处采用十六进制标识,转化为二进制后即为1 位),将其划分为4组265014bl、 4770be3e、99fO;3539、b763f4fe,它们之间进行异或之后265014b Ixor 4770be3e xor 99f03539 xorb763f4fe = 4fb36b48,即 Rl = 4fb36b48 ;步骤二、输入mm. baidu. com,使用A算法后得到一个输出值R2,具体处理过程与步骤一中输入棚.ruijie. net的处理过程相同,这里不再赘述,假设得到的R2 = eb415b30 ;步骤三、使用B算法对Rl和R2进行处理,得到输出值R3 ;其中,B算法为输入两个32位数,相互异或后得到一个32位的输出,例如Rl xor R2 = 4fb36b48 xor eb415b30 = a4f23078,及 R3 = a4f23078 ;步骤四、输入Rl和R3,使用C算法生成授权标签信息;其中,C算法为输入两个长度为8的字符串,将它们连接后输出一个长度为16的字符串,例如输入Rl (4fb36b48)和R3 (a4f23078)后,输出值为4fb36b48a4f23078,以及授权标签信息为4fb36b48a4f23078。相应地,当SSL VPN网关提取到远程主机提交的URL中包含的待验证授权标签信息之后,可以按照以下方法进行授权标签信息的匹配
步骤一、输入授权标签信息,使用D算法得到两个输出值,假设为R5和R6,其中D 算法与C算法互为逆算法,即输入一个长度为16的字符串,使用D算法能够将该字符串拆分为两个长度为8的字符串;例如,输入授权标签信息4fb36b48a4f23078,可以得到两个输出值,分别为R5 = 4fb36b48 和 R6 = a4f23078 ;步骤二、输入mm. baidu. com,使用A算法得到一个输出值R7 ;具体的,假设输出值R7 = eb415b30 ;步骤三、输入R5和R7使用B算法,得到输出值R8,假设R8 = a4f23078 ;步骤四、判断R8是否与R6相同,如果相同,则确定待验证授权标签信息与URL2对应的授权标签信息匹配,如果不同,则确定待验证授权标签信息与URL2对应的授权标签信息不匹配。为了更好地理解本发明实施例,以下以远程主机通过SSL VPN网关访问URLl和 URL2为例对本发明实施例的实施过程进行说明。其中,URLl存在于SSL VPN网关允许访问的URL列表中,URL2不存在于SSL VPN网关允许访问的URL列表中,且URLl对应的页面中包含有URL2的链接。 如图3所示,为远程主机基于URLl访问URL2时,SSL VPN网关对远程主机进行动态授权的实施流程示意图,包括以下步骤S301、远程主机向SSL VPN网关提交URLl ;具体的,用户通过在浏览器中输入URL1,向SSL VPN网关提交URLl,在URLl中包含授权标签信息的预设值,例如,远程主机访问ruijie. net,当用户在浏览器中输入 www. ruijie. net并提交之后,将被修改为https:// sslvpn/0/www. ruijie. net ;S302、SSL VPN网关提取URLl中的待验证授权标签信息;S303、SSL VPN网关判断提取到的待验证授权标签信息是否与预设值相同,如果相同,则执行步骤S304,如果不相同,执行步骤S305 ;S304、SSL VPN网关判断URLl是否存在于允许访问的URL列表中,如果是,执行步骤S306,如果否,执行步骤307 ;S305、SSL VPN网关对URLl进行动态授权;具体的,SSL VPN网关对URLl的动态授权过程可参见步骤S313 S315,这里不再赘述。S306、SSL VPN网关向URLl的服务器hostl发送请求,请求URLl对应的页面,并执行步骤S308 ;S307、SSL VPN网关禁止远程主机访问URLl对应的页面;S308、SSL VPN网关接收hostl返回的URLl对应的页面;S309、SSL VPN网关修改URLl对应的页面中包含的所有URL链接;具体的,针对URLl对应的页面中包含的每个URL (包括URL2),SSL VPN网关为该 URL生成其对应的授权标签信息,并将该授权标签信息添加到该URL中;S310、SSL VPN网关将URLl对应的页面返回给远程主机;S311、远程主机通过URLl对应的页面向SSL VPN网关提交URL2,请求访问URL2对应的页面;
9CN 102546594 A具体的,远程主机在访问URLl对应的页面的过程中,直接在该页面上点击URL2链接;S312、SSL VPN网关提取URL2中包含的待验证授权标签信息;S313、SSL VPN网关判断提取到的待验证授权标签信息与URL2对应的授权标签信息是否匹配,如果是,执行步骤S314,否则,执行步骤S315 ;S314、SSL VPN网关允许远程主机访问URL2对应的页面;具体的,SSL VPN网关将向URL2对应的服务器host2发送请求,请求URL2对应的页面。S315、SSL VPN禁止远程主机访问URL2对应的页面。基于同一发明构思,本发明实施例中还提供一种网络资源访问控制装置及一种网络设备,由于该装置及网络设备解决问题的原理与上述网络资源访问控制方法相似,因此该装置及网络设备的实施可以参见上述网络资源访问控制方法的实施,重复之处不再赘述。如图4所示,为本发明实施例提供的网络资源访问控制装置,包括第一接收单元401,用于接收远程主机提交的第一 URL,该第一 URL中包含待验证授权标签信息;提取单元402,用于提取第一 URL中包含的待验证授权标签信息;第一判断单元403,用于判断提取单元402提取的待验证授权标签信息与所述第一 URL对应的授权标签信息是否匹配;第一处理单元404,用于在第一判断单元403的判断结果为是时,允许远程主机访问第一URL对应的页面;以及在第一判断单元403的判断结果为否时,禁止远程主机访问第一 URL对应的页面。具体实施中,网络资源访问控制装置,还可以包括第二接收单元,用于接收远程主机提交的第二 URL,该第二 URL对应的页面中包含该第一 URL对应的原始URL ;生成单元,用于确定第二 URL在自身存储的允许访问URL列表中时,生成该原始 URL对应的授权标签信息,将生成的授权标签信息确定为第一 URL对应的授权标签信息。具体实施中,网络资源访问控制装置,还可以包括添加单元,用于将生成单元生成的授权标签信息添加至原始URL中,得到第一 URL ;推送单元,用于将包含第一 URL的第二 URL对应的页面推送给所述远程主机。具体实施中,网络资源访问控制装置,还可以包括确定单元,用于在第一判断单元403判断所述待验证授权标签信息与第一 URL对应的授权标签信息是否匹配之前,确定待验证授权标签信息与授权标签信息的预设值不同。具体实施中,网络资源访问控制装置,还可以包括第二判断单元,用于在第一判断单元403判断待验证授权标签信息与第一 URL对应的授权标签信息是否匹配之前,确定该待验证授权标签信息与授权标签信息的预设值相同时,判断第一 URL是否在自身存储的允许访问URL列表中;
第二处理单元,用于在第二判断单元的判断结果为是时,允许远程主机访问第一 URL对应的页面;在第二判断单元的判断结果为否时,禁止远程主机访问所述第一 URL对应的页面。在本发明实施例中,网络资源访问控制装置可以设置在SSL VPN网关中,由SSL VPN网关控制网络资源的访问。需要说明的是,将上述网络资源访问控制装置设置在SSL VPN网关中只是一种较佳实施方式,具体实施中,可以根据实际的需要将上述网络资源访问控制装置设置在其它网络设备中,当然也可以设置在新增网络设备中。本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。本发明实施例提供的网络资源访问控制方法及相关设备,通过在URL中增加一个授权标签信息,当远程主机需要访问该URL对应的页面时,向网络侧设备提交该URL,网络侧设备提取该远程主机提交的URL中包含的待验证授权标签信息,并将提取到的待验证标签信息与该URL对应的授权标签信息进行匹配,如果匹配则允许远程主机访问该URL对应的页面,否则,禁止远程主机访问该URL对应的页面,通过上述过程,能够准确识别出远程主机是否是基于允许访问的URL对应的页面访问该URL,从而实现了对网络资源访问的动态授权,简化了网络侧设备授权流程,同时保证了网络资源访问的安全性。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种网络资源访问控制方法,其特征在于,包括网络侧设备接收远程主机提交的第一统一资源定位符URL,所述第一 URL中包含待验证授权标签信息;并提取所述待验证授权标签信息;所述网络侧设备判断所述待验证授权标签信息与所述第一 URL对应的授权标签信息是否匹配,如果是,允许所述远程主机访问所述第一 URL对应的页面,如果否,禁止所述远程主机访问所述第一 URL对应的页面。
2.如权利要求1所述的方法,其特征在于,所述第一URL对应的授权标签信息,按照如下方法确定所述网络侧设备接收所述远程主机提交的第二 URL,所述第二 URL对应的页面中包含所述第一 URL对应的原始URL ;所述网络侧设备确定所述第二 URL在自身存储的允许访问URL列表中时,生成该原始 URL对应的授权标签信息,将所述生成的授权标签信息确定为所述第一 URL对应的授权标息 ο
3.如权利要求2所述的方法,其特征在于,还包括所述网络侧设备将所述授权标签信息添加至所述原始URL中,得到所述第一 URL ;并将包含所述第一 URL的第二 URL对应的页面推送给所述远程主机。
4.如权利要求1所述的方法,其特征在于,还包括所述网络侧设备在判断所述待验证授权标签信息与所述第一 URL对应的授权标签信息是否匹配之前,确定所述待验证授权标签信息与授权标签信息的预设值不同。
5.如权利要求1所述的方法,其特征在于,还包括所述网络侧设备在判断所述待验证授权标签信息与所述第一 URL对应的授权标签信息是否匹配之前,确定所述待验证授权标签信息与授权标签信息的预设值相同时,判断所述第一 URL是否在自身存储的允许访问URL列表中;以及在判断结果为是时,允许所述远程主机访问所述第一 URL对应的页面;在判断结果为否时,禁止所述远程主机访问所述第一 URL对应的页面。
6.一种网络资源访问控制装置,其特征在于,包括第一接收单元,用于接收远程主机提交的第一统一资源定位符URL,所述第一 URL中包含待验证授权标签信息;提取单元,用于提取所述待验证授权标签信息;第一判断单元,用于判断所述待验证授权标签信息与所述第一 URL对应的授权标签信息是否匹配;第一处理单元,用于在所述第一判断单元的判断结果为是时,允许所述远程主机访问所述第一 URL对应的页面;以及在所述第一判断单元的判断结果为否时,禁止所述远程主机访问所述第一 URL对应的页面。
7.如权利要求6所述的装置,其特征在于,还包括第二接收单元,用于接收所述远程主机提交的第二 URL,所述第二 URL对应的页面中包含所述第一 URL对应的原始URL ;生成单元,用于确定所述第二 URL在自身存储的允许访问URL列表中时,生成该原始URL对应的授权标签信息,将所述生成的授权标签信息确定为所述第一 URL对应的授权标息 ο
8.如权利要求7所述的装置,其特征在于,还包括添加单元,用于将所述生成单元生成的授权标签信息添加至所述原始URL中,得到所述第一 URL ;推送单元,用于将包含所述第一 URL的第二 URL对应的页面推送给所述远程主机。
9.如权利要求6所述的装置,其特征在于,还包括确定单元,用于在所述第一判断单元判断所述待验证授权标签信息与所述第一 URL对应的授权标签信息是否匹配之前,确定所述待验证授权标签信息与授权标签信息的预设值不同。
10.如权利要求6所述的装置,其特征在于,还包括第二判断单元,用于在所述第一判断单元判断所述待验证授权标签信息与所述第一 URL对应的授权标签信息是否匹配之前,确定所述待验证授权标签信息与授权标签信息的预设值相同时,判断所述第一 URL是否在自身存储的允许访问URL列表中;第二处理单元,用于在所述第二判断单元的判断结果为是时,允许所述远程主机访问所述第一 URL对应的页面;在所述第二判断单元的判断结果为否时,禁止所述远程主机访问所述第一 URL对应的页面。
11.一种网络设备,其特征在于,包括权利要求6 10任一权利要求所述的装置。
全文摘要
本发明公开了一种网络资源访问控制方法、装置及相关设备,用以准确识别远程主机是否基于允许访问的URL对应的页面访问不存在于允许访问URL列表中的URL,以简化网络侧设备授权流程,保证网络资源访问的安全性。其中,所述网络资源访问控制方法,包括网络侧设备接收远程主机提交的第一URL,所述第一URL中包含待验证授权标签信息;并提取所述第一URL中包含的待验证授权标签信息;所述网络侧设备判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配,如果是,允许所述远程主机访问所述第一URL对应的页面,如果否,禁止所述远程主机访问所述第一URL对应的页面。
文档编号H04L29/06GK102546594SQ201110404079
公开日2012年7月4日 申请日期2011年12月7日 优先权日2011年12月7日
发明者彭谦 申请人:北京星网锐捷网络技术有限公司