基于icap协议的网络安全访问控制方法

基于icap协议的网络安全访问控制方法
【专利摘要】本发明涉及一种基于ICAP协议的网络安全访问控制方法，该方法包括URL过滤控制和HTTP流量控制，所述的URL过滤控制为用户客户端向HTTP服务器发送HTTP请求时的安全控制，所述的HTTP流量控制为HTTP服务器向用户客户端发送HTTP应答消息时的安全控制，当ICAP服务器扫描出恶意流量时，ICAP服务器将通过ICAP客户端对网络访问进行阻拦。与现有技术相比，本发明具有实时性强、成本低、可扩展性强、策略种类多等优点。
【专利说明】基于ICAP协议的网络安全访问控制方法
【技术领域】
[0001]本发明涉及一种网络访问的控制方法，尤其是涉及一种基于ICAP协议的网络安全访问控制方法。
【背景技术】
[0002]随着运营商网络规模不段扩容、用户增多，各种网站大量涌现，其中不乏各种恶意网站，诸如:钓鱼网站，色情网站，赌博网站等。如何实现让用户(诸如家长对孩子的网络访问控制)或者企业可以针对自身需求定制员工可以访问的WEB网址是未来的发展方向。同时黑客攻击，病毒及木马传播等不安全的内容充斥着互联网并愈演愈烈，给大型网络诸如运营商、IDC的网络设备的吞吐量以及安全性带来了考验。
[0003]出于上述需求，结合了运营商网络高压力的特点，传统部署安全类设备的方式主要包括将安全扫描设备以串接的方式部署到核心主干网中和将安全扫描设备以旁路的方式部署到核心主干网中，通常以“分光”的方式将设备部署在分光器的背后。以分光的模式去部署在分光器的背后的部署模式对流量控制的实时性较差，通常用户访问目的网址后设备才会显示出报告，不能在用户访问目的网址之前对用户的HTTP会话进行操作，例如:警告用户此HTTP会话存在风险、放行并记录HTTP会话或阻拦此会话。将安全扫描设备以串接的方式部署到核心主干网中的部署模式存在精准度低，漏判、误判情况较多，并且串接的部署模式对于设备的性能以及稳定性有着极高的要求等缺点。ICAP是设计用来传输特定的基于互联网的内容专用服务器协议，ICAP是Internet Content Adaptation Protocol的缩写，它在本质上是在HTTP信息上执行远程过程调用(RPC)的一种轻量级的协议。

【发明内容】

[0004]本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种实时性强、成本低、可扩展性强的基于ICAP协议的网络安全访问控制方法。
[0005]本发明的目的可以通过以下技术方案来实现:
[0006]一种基于ICAP协议的网络安全访问控制方法，该方法包括URL过滤控制和HTTP流量控制，所述的URL过滤控制为用户客户端向HTTP服务器发送HTTP请求时的安全控制，包括以下步骤:
[0007]I)用户客户端发送HTTP请求到ICAP客户端；
[0008]2) ICAP客户端HTTP请求封装为基于ICAP Preview的ICAP请求并发送给ICAP服务器；
[0009]3 ) I CAP服务器对解封装ICAP请求，根据ICAP请求中的URL地址，向ICAP客户端发送相应的动作指令；
[0010]4) ICAP客户端根据接收到的动作指令向用户客户端发送返回信息，并将HTTP请求发送给HTTP服务器；
[0011]所述的HTTP流量控制为HTTP服务器向用户客户端发送HTTP应答消息时的安全控制，包括以下步骤:
[0012]11) HTTP服务器将HTTP应答消息发送给ICAP客户端；
[0013]12)ICAP客户端将HTTP应答消息的HTTP头和内容封装为ICAP应答信息，并发送到ICAP服务器；
[0014]13) ICAP服务器将ICAP应答信息解封装，对封装内部的HTTP应答信息进行扫描并将扫描结果发送到ICAP客户端；
[0015]14) ICAP客户端根据扫描结果将HTTP应答消息发送回用户客户端。
[0016]所述的步骤3)中的动作指令包括阻拦动作指令、警告动作指令和检测并记录动作指令。
[0017]所述的步骤4)中ICAP客户端根据接收到的动作指令向用户客户端发送返回信息具体为:
[0018]若动作指令为阻拦动作指令，则ICAP客户端将阻拦信息发送给用户客户端，用户客户端显示阻拦页面，返回步骤I)；
[0019]若动作指令为警告动作指令，则ICAP客户端将警告信息发送给用户客户端，用户客户端显示警告页面，用户客户端向ICAP客户端发送确认信号后，ICAP客户端将HTTP请求发送给HTTP服务器；
[0020]若动作指令为检测并记录动作指令，则ICAP客户端直接将HTTP请求发送给HTTP服务器。
[0021]所述的步骤13)中ICAP服务器对封装内部的HTTP应答信息进行扫描后，若流量安全，则ICAP服务器将正常的HTTP应答信息封装为ICAP应答信息返回到ICAP客户端；若流量包含恶意内容，则ICAP服务器将阻拦页面和HTTP应答信息一起封装到ICAP应答信息中并发送给ICAP客户端。
[0022]与现有技术相比，本发明具有以下优点:
[0023]I)实时性强，基于传统分光技术的访问流量控制设备策略生效有滞后性，传统分光技术只能检测或分析网络中的流量，不能对流量进行有效的控制技术，本发明可以对流量执行阻拦或监控策略；
[0024]2)性能大幅提升，基于ICAP Preview模式的URL过滤技术使得ICAP服务器只接受HTTP头即可判断执行哪种策略，不用继续传输对于URL过滤及控制策略无用的HTTP内容部分，而传统检测设备要全部拿到HTTP内容后才可以决定执行哪种策略；
[0025]3)策略种类的多样性，传统控制设备的策略单一，而本发明的策略种类分为:放行并记录策略，警告策略，阻断策略；
[0026]4)部署成本低,传统分光技术需要多台设备构成的系统(分光器,光信号放大器等若干设备)，本发明只需一台ICAP客户端即可；
[0027]5)维护成本低，通常维护一套分光检测系统需要若干人员，本发明需要的管理ICAP客户端设备的人员较少；
[0028]6)网络可扩展性强，如果网络中部署了基于分光技术的恶意流量监测方案之后，网络中的设备变更会变得困难，本发明无需考虑物理部署，只需将需要扫描的流量在ICAP客户端配置即可。【专利附图】

【附图说明】
[0029]图1为本发明URL过滤的数据流示意图；
[0030]图2为本发明流量控制的数据流示意图。
【具体实施方式】
[0031]下面结合附图和具体实施例对本发明进行详细说明。
[0032]实施例
[0033]本发明的基于ICAP协议的网络安全访问控制方法，包括URL过滤控制和HTTP流量控制，如图1所示的URL过滤控制为用户客户端向HTTP服务器发送HTTP请求时的安全控制，包括以下步骤:
[0034]步骤101:用户客户端发送HTTP请求到ICAP客户端；
[0035]步骤102 =ICAP客户端HTTP请求封装为基于ICAP Preview的ICAP请求并发送给ICAP服务器；
[0036]步骤103:ICAP服务器对解封装ICAP请求，根据ICAP请求中的URL地址，向ICAP客户端发送相应的动作指令，动作指令包括阻拦动作指令、警告动作指令和检测并记录动作指令；
[0037]步骤104 =ICAP客户端根据接收到的动作指令向用户客户端发送返回信息，并将HTTP请求发送给HTTP服务器；
[0038]步骤105 =HTTP服务器将HTTP应答消息发送给ICAP客户端；
[0039]步骤106:假设HTTP应答消息安全，则ICAP客户端直接将HTTP应答消息发送给用户客户端:
[0040]若动作指令为阻拦动作指令，则ICAP客户端将阻拦信息发送给用户客户端，用户客户端显示阻拦页面，返回步骤101)；
[0041]若动作指令为警告动作指令，则ICAP客户端将警告信息发送给用户客户端，用户客户端显示警告页面，用户客户端向ICAP客户端发送确认信号后，ICAP客户端将HTTP请求发送给HTTP服务器；
[0042]若动作指令为检测并记录动作指令，则ICAP客户端直接将HTTP请求发送给HTTP服务器。
[0043]如图2所示的HTTP流量控制为HTTP服务器向用户客户端发送HTTP应答消息时的安全控制，包括以下步骤:
[0044]步骤201:用户客户端发送HTTP请求到ICAP客户端；
[0045]步骤202:假设HTTP请求中URL地址安全，则ICAP客户端直接将HTTP请求发送给HTTP服务器；
[0046]步骤203 =HTTP服务器将HTTP应答消息发送给ICAP客户端；
[0047]步骤204 =ICAP客户端将HTTP应答消息的HTTP头和内容封装为ICAP应答信息，并发送到ICAP服务器；
[0048]步骤205 =ICAP服务器将ICAP应答信息解封装，对封装内部的HTTP应答信息进行扫描，若流量安全，则ICAP服务器将正常的HTTP应答信息封装为ICAP应答信息返回到ICAP客户端；若流量包含恶意内容，则ICAP服务器将阻拦页面和HTTP应答信息一起封装到ICAP应答信息中并发送给ICAP客户端；
[0049]步骤206 =ICAP客户端根据扫描结果将HTTP应答消息发送回用户客户端。
[0050]本发明在的一般的用户客户端和HTTP服务器的链路中旁路连接了 ICAP客户端和ICAP服务器，ICAP客户端将HTTP信息封装为ICAP信息，ICAP服务器实时的将扫描结果以ICAP信息交互给ICAP客户端，如果URL地址和流量扫描安全，那么放行HTTP会话，如果扫描出恶意流量，那么ICAP服务器将对该网络访问进行阻拦。
【权利要求】
1.一种基于ICAP协议的网络安全访问控制方法，其特征在于，该方法包括URL过滤控制和HTTP流量控制，所述的URL过滤控制为用户客户端向HTTP服务器发送HTTP请求时的安全控制，包括以下步骤: 1)用户客户端发送HTTP请求到ICAP客户端； 2)ICAP客户端HTTP请求封装为基于ICAP Preview的ICAP请求并发送给ICAP服务器； 3)ICAP服务器对解封装ICAP请求，根据ICAP请求中的URL地址，向ICAP客户端发送相应的动作指令； 4)ICAP客户端根据接收到的动作指令向用户客户端发送返回信息，并将HTTP请求发送给HTTP服务器； 所述的HTTP流量控制为HTTP服务器向用户客户端发送HTTP应答消息时的安全控制，包括以下步骤: 11)HTTP服务器将HTTP应答消息发送给ICAP客户端； 12)ICAP客户端将HTTP应答消息的HTTP头和内容封装为ICAP应答信息，并发送到ICAP服务器； 13)ICAP服务器将ICAP应答信息解封装，对封装内部的HTTP应答信息进行扫描并将扫描结果发送到ICAP客户端； 14)ICAP客户端根据扫描结果将HTTP应答消息发送回用户客户端。
2.根据权利要求1所述的一种基于ICAP协议的网络安全访问控制方法，其特征在于，所述的步骤3)中的动作指令包括阻拦动作指令、警告动作指令和检测并记录动作指令。
3.根据权利要求2所述的一种基于ICAP协议的网络安全访问控制方法，其特征在于，所述的步骤4)中ICAP客户端根据接收到的动作指令向用户客户端发送返回信息具体为: 若动作指令为阻拦动作指令，则ICAP客户端将阻拦信息发送给用户客户端，用户客户端显示阻拦页面，返回步骤I)； 若动作指令为警告动作指令，则ICAP客户端将警告信息发送给用户客户端，用户客户端显示警告页面，用户客户端向ICAP客户端发送确认信号后，ICAP客户端将HTTP请求发送给HTTP服务器； 若动作指令为检测并记录动作指令，则ICAP客户端直接将HTTP请求发送给HTTP服务器。
4.根据权利要求1所述的一种基于ICAP协议的网络安全访问控制方法，其特征在于，所述的步骤13)中ICAP服务器对封装内部的HTTP应答信息进行扫描后，若流量安全，则ICAP服务器将正常的HTTP应答信息封装为ICAP应答信息返回到ICAP客户端；若流量包含恶意内容，则ICAP服务器将阻拦页面和HTTP应答信息一起封装到ICAP应答信息中并发送给ICAP客户端。
【文档编号】H04L29/06GK103581144SQ201210277119
【公开日】2014年2月12日 申请日期:2012年8月6日 优先权日:2012年8月6日
【发明者】彭朝晖 申请人:无锡稳捷网络技术有限公司