专利名称:基于代理网关对访问请求进行控制的方法及装置的制作方法
技术领域:
本发明涉及通信领域,特别涉及一种基于Https访问请求进行控制的方法及装置。
背景技术:
随着互联网技术的发展,用户对互联网提供规模更大,形式更丰富的服务的需求也在不断增长。目前,通常采用WAP(Wireless Application Protocol,无线应用协议)网关作为终端用户的上网代理,WAP网关最基本的功能是作为终端的代理服务器,代理终端访问WAP网站和互联网内容,提供基本的http代理服务和WAP1. X的协议转换功能。为了保护用户的私密数据,WAP网关提供了 https请求的加密数据访问通道,称为TLSCTransportLayer Security Protocol,安全传输层协议)隧道,用户通过TLS隧道两端的进行密钥协商,传输过程中以加密数据进行传输,使得用户重要数据得以保护。但https (指使用了 TLS加密的http服务)代理服务自身存在的缺陷,即HTTPCONNECT代理服务器是一种能够允许用户建立TCP连接到任何端口的代理服务器,这意味着这种代理不仅可用于http代理服务,还可以用于FTP、IRC、RM流服务等,甚至可以用于扫描、攻击,如,终端可以利用WAP网关对Https请求数据不能进行处理的缺陷,使用HTTPCONNECT代理对WAP网关重要系统进行扫描,攻击等。有鉴于此,需要设计一种新的方式,对发往WAP网站的TLS请求(即使用的TLS加密的https请求)进行控制,对部分非法的TLS请求及时进行封堵,以达到保护系统安全的目的。
发明内容
本发明实施例提供基于代理网关对https访问请求进行控制的方法及装置,用于提高代理网关应用系统的安全性。本发明实施例提供的具体技术方案如下基于代理网关对https访问请求进行控制的方法,包括代理网关接收终端发送的用于建立TLS连接的https访问请求,所述https访问请求中至少携带有二元组控制参数;代理网关根据预设的筛选策略,判断所述https访问请求携带的二元组控制参数是否合法,若是,则允许所述终端通过所述https访问请求建立TLS连接,否则拒绝所述终端通过所述https访问请求建立TLS连接。基于代理网关对https访问请求进行控制的装置,包括通信单元,用于接收终端发送的用于建立TLS连接的https访问请求,所述https访问请求中至少携带有二元组控制参数;控制单元,用于根据预设的筛选策略,判断所述https访问请求携带的二元组控制参数是否合法,若是,则允许所述终端通过所述https访问请求建立TLS连接,否则拒绝、所述终端通过所述https访问请求建立TLS连接。本发明实施例中,在代理网关中增设了 TLS访问控制功能,可以使用预设的二元组控制参数灵活地管理和控制用于建立TLS连接的https访问请求,从而有效地对非法TLS连接进行封堵,为代理网关运行系统提供了更为灵活的保护措施,提高了代理网关业务控制流程的安全性和灵活性。
图I为本发明实施例中WAP网关应用系统体系架构不意图;图2为本发明实施例中WAP网关功能结构示意图;图3为本发明实施例中WAP网关对Https访问请求进行控制示意流程图;图4为本发明实施例中WAP网关对Https访问请求进行控制详细流程图。
具体实施例方式为了实现代理网关对Https访问请求的控制,防止终端通过TLS隧道对代理网关进行非正常操作,从而提高代理网关应用系统的安全性,本发明实施例中,代理网关接收终端发送用于建立TLS连接的的https访问请求,该https访问请求中至少携带有二元组控制参数,代理网关根据预设的筛选策略,判断接收的https访问请求携带的二元组控制参数是否合法,若是,则允许终端通过该https访问请求建立TLS连接,否则,拒绝终端通过该https访问请求建立TLS连接。本发明实施例中,所谓的代理网关可以是WAP网关,也可以是WEB网关,而所谓的二元组控制参数可以包括终端请求访问的域名和端口号,也可以是终端请求访问的IP地址和端口号;端口号可以按照端口号号段配置。另一方面,本发明实施例中,为了令代理网关具有对https访问请求的控制功能,可以采用SP(SerVer Provide,服务提供)列表的形式记录代理网关使用的筛选策略,筛选策略可以设置为黑名单,也可以设置为白名单,两者任选其中,但不可同时使用,所谓的黑名单是指不允许采用SP列表中记录的二元组控制参数建立TLS连接,而所谓白名单是指仅允许使用SP列表中记录的二元组控制参数建立TLS连接;进一步地,SP列表中还可以设置有用于指示是否启动TLS连接控制功能的配置参数;当代理网关启动后,读取并加载预设的SP列表,以及按照SP列表的配置内容对终端发送的用于建立TLS连接的https访问请求进行相应控制。下面以代理网关是WAP网关为例,结合附图对本发明优选的实施方式进行详细说明。参阅图I所示,本发明实施例中,WAP网关应用系统中包括终端和WAP网关,其中,终端用于通过WAP网关向请求各种http应用服务,WAP网关用于对终端的http访问请求进行TLS访问控制,如图I所示,WAP网关应用系统中还包括SP Server,用于存储各类http服务资源,与通过WAP网关筛选的终端建立TLS连接,将通过该TLS连接向终端提供本地存储的http服务资源。若代理网关为WEB网关,则上述系统架构同样适用于WEB应用系统,在此不再赘述。参阅图2所示,本发明实施例中,7、WAP网关中设置有通信单元20和控制单元21,、其中,通信单元20,用于接收终端发送的用以建立TLS连接的https访问请求,该https访问请求中至少携带有二元组控制参数;控制单元,用于根据预设的筛选策略,判断接收的https访问请求携带的二元组控制参数是否合法,若是,则允许终端通过该https访问请求建立TLS连接,否则拒绝终端通过该https访问请求建立TLS连接。若代理网关为WEB网关,同样适用于上述WAP网关中设置的各种功能单元,在此不再赘述。参阅图3所示,本发明实施例,WAP网关对终端发送的https访问请求进行控制的示意流程如下步骤300 :WAP网关接收终端发送的用于建立TLS连接的https访问请求,该https访问请求中至少携带有二元组控制参数。本实施例中,为了安全起见,WAP网关支持radius服务(上线鉴权服务),即WAP网关在收到终端发送的https访问请求后,查询到该终端的MSISDN(如,手机号),并在确定该终端的MSISDN合法后,再执行步骤310。另一方面,WAP网关接收终端发送的https访问请求后,也可以根据SP列表中记录的配置参数,确定本地启动了 TLS访问控制功能时,再执行步骤310。步骤310 =WAP网关根据预设的筛选策略,判断接收的https访问请求携带的二元组控制参数是否合法,若是,则允许终端通过该https访问请求建立TLS连接,否则,拒绝终端通过该https访问请求建立TLS连接。本实施例中,WAP网关执行根据预设的筛选策略,判断接收的https访问请求携带的二元组控制参数是否合法时,执行以下操作若筛选策略设置为黑名单策略,则WAP网关判断https访问请求消息中携带的二元组控制参数是否记录在黑名单中,若是,则确定该二元组控制参数不合法,否则,确定该二元组控制参数合法;若筛选策略设置为白名单策略,则WAP网关判断https访问请求消息中携带的二元组控制参数是否记录在白名单中,若是,则确定该二元组控制参数合法,否则,确定该所述二元组控制参数不合法。基于上述实施例,参阅图4所示,本发明实施例中,WAP网关对终端发送的https访问请求进行控制的详细流程如下步骤400 WAP网关接收终端发送的https访问请求。步骤410 WAP网关判断接收的https访问请求是否是请求建立TLS连接的请求消息,若是,则进行步骤430 ;否则,进行步骤420。本实施例中,WAP网关可以根据https访问请求中指定的标志位来确定该https访问请求是否用于请求建立TLS连接。步骤420 WAP网关对所述https访问请求进行业务访问控制。步骤430 =WAP网关判断本地是否启用了 TLS访问控制功能?若是,则进行步骤480 ;否则,进行步骤440 ;本实施例中,启用/关闭TLS访问控制功能的按钮可以设置在操作界面上,管理人、员可以根据实际需要,启用/关闭TLS访问控制功能,不需要重启整个业务系统,即时生效。步骤440 =WAP网关判断本地配置的筛选策略为黑名单策略还是白名单策略,若是黑名单策略,则执行步骤450 ;若是白名单策略,则执行步骤460。步骤450 :WAP网关判断https访问请求中携带的请求建立连接的二元组控制参数是否记录在黑名单中?若是,则执行步骤470 ;否则,执行步骤480 ;步骤460 ;WAP网关判断https访问请求中携带的请求建立连接的二元组控制参数是否记录在白名单中?若是,则执行步骤480 ;否则,执行步骤470 ;步骤470 ;WAP网关拒绝终端建立TLS连接,接着,执行步490。WAP网关执行步骤470时,向终端返回拒绝建立TLS连接的响应消息,并断开本地与终端之间的通信连接,如,TCP连接。步骤480 =WAP网关允许终端建立TLS连接,接着,执行步骤490。执行步骤480时,WAP网关指示终端与其请求建立TLS连接的SP Server建立TLS隧道(即TLS连接),并在建立TLS隧道后,指示终端直接与SP Server通过TLS隧道进行数据交互,无需再经过WAP网关;步骤490 =WAP网关将TLS访问控制流程的执行结果记录在日志文件中。在日志文件中,WAP网关会记录TLP隧道的访问记录(也称为https访问内容),包含访问内容、访问开始时间、结束时间、访问结果(如,TLS隧道建立是否成功或被拒绝)
等等信息,用于后续管理操作。当然,对于WEB网关,上述实施例中记录的流程同样适用,在此不再赘述。本发明实施例中,上述TLS连接兼容SSL (Secure Sockets Layer,安全套接层)相关协议,因此,同样适用于采用SSL相关转文的网络环境,在此亦不再赘述。本发明实施例中,在代理网关中增设了 TLS访问控制功能,可以使用预设的二元组控制参数灵活地管理和控制用于建立TLS连接的https访问请求,从而有效地对非法TLS连接进行封堵,为代理网关运行系统提供了更为灵活的保护措施,提高了代理网关业务控制流程的安全性和灵活性。进一步地,整个TLS访问控制流程不需要运营商参与,并且对终端用户透明,对非法的https访问请求可以直接拒绝,从而保护了运营商的设备和运行系统的安全,并且不仅仅适应于WAP网关应用系统,其他所有应用到TLS访问的应用系统都可以使用本发明进行非法TLS连接封堵,保护对应的系统从而提高了业务访问控制的灵活性,为用户提供更为安全的http服务。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。权利要求
1.基于代理网关对https访问请求进行控制的方法,其特征在于,包括 代理网关接收终端发送的用于建立安全传输层协议TLS连接的https访问请求,所述https访问请求中至少携带有ニ元组控制參数; 代理网关根据预设的筛选策略,判断所述https访问请求携帯的ニ元组控制參数是否合法,若是,则允许所述终端通过所述https访问请求建立TLS连接,否则拒绝所述终端通过所述https访问请求建立TLS连接。
2.如权利要求I所述的方法,其特征在于,所述代理网关为WAP网关,或者,为WEB网关。
3.如权利要求I所述的方法,其特征在于,所述ニ元组控制參数包括终端请求访问的域名和端口号,或者,終端请求访问的IP地址和端ロ号。
4.如权利要求1、2或3所述的方法,其特征在于,所述代理网关接收终端发送的https访问请求后,确定本地启动了 TLS访问控制功能时,再根据预设的筛选策略,判断所述https访问请求携带的ニ元组控制參数是否合法。
5.如权利要求1、2或3所述的方法,其特征在于,所述代理网关根据预设的筛选策略,判断所述https访问请求携带的ニ元组控制參数是否合法,包括 若所述筛选策略设置为黑名单策略,则所述代理网关判断所述ニ元组控制參数是否记录在黑名单中,若是,则确定所述ニ元组控制參数不合法,否则,确定所述所述ニ元组控制參数合法; 若所述筛选策略设置为白名单策略,则所述代理网关判断所述ニ元组控制參数是否记录在白名单中,若是,则确定所述ニ元组控制參数合法,否则,确定所述所述ニ元组控制參数不合法。
6.如权利要求1、2或3所述的方法,其特征在于,所述代理网关允许所述終端通过所述https访问请求建立TLS连接,包括指示所述终端与相应的服务提供服务器建立TLS连接,并在建立TLS连接后,指示終端直接与所述服务提供服务器进行数据交互; 所述代理网关拒绝所述終端通过所述https访问请求建立TLS连接,包括所述代理网关向所述终端返回拒绝建立TLS连接的响应消息,并断开本地与所述终端的通信连接。
7.基于代理网关对https访问请求进行控制的装置,其特征在于,包括 通信単元,用于接收终端发送的用于建立安全传输层协议TLS连接的https访问请求,所述https访问请求中至少携带有ニ元组控制參数; 控制单元,用于根据预设的筛选策略,判断所述https访问请求携带的ニ元组控制參数是否合法,若是,则允许所述终端通过所述https访问请求建立TLS连接,否则拒绝所述终端通过所述https访问请求建立TLS连接。
8.如权利要求7所述的装置,其特征在于,所述装置为WAP网关,或者,为WEB网关。
9.如权利要求7所述的装置,其特征在干,所述通信単元接收到的ニ元组控制參数包括終端请求访问的域名和端口号,或者,終端请求访问的IP地址和端ロ号。
10.如权利要求7、8或9所述的装置,其特征在干,所述通信単元接收终端发送的https访问请求后,所述控制单元确定本地启动了 TLS访问控制功能时,再根据预设的筛选策略,判断所述https访问请求携带的ニ元组控制參数是否合法。
11.如权利要求7、8或9所述的装置,其特征在于,所述控制単元根据预设的筛选策略,判断所述https访问请求携带的ニ元组控制參数是否合法,包括 若所述筛选策略设置为黑名单策略,则所述控制单元判断所述ニ元组控制參数是否记录在黑名单中,若是,则确定所述ニ元组控制參数不合法,否则,确定所述所述ニ元组控制參数合法; 若所述筛选策略设置为白名单策略,则所述控制单元判断所述ニ元组控制參数是否记录在白名单中,若是,则确定所述ニ元组控制參数合法,否则,确定所述所述ニ元组控制參数不合法。
12.如权利要求7、8或9所述的装置,其特征在于,所述控制単元允许所述終端通过所述https访问请求建立TLS连接,包括通过所述通信单元指示所述终端与相应的服务提供服务器建立TLS连接,并在建立TLS连接后,指示終端直接与所述服务提供服务器进行数据交互; 所述控制单元拒绝所述终端通过所述https访问请求建立TLS连接,包括通过所述通信単元向所述终端返回拒绝建立TLS连接的响应消息,并断开本地与所述终端的通信连接。
全文摘要
本发明涉及通信领域,公开了一种基于代理网关对http访问请求进行控制的方法,用以提高代理网关应用系统的安全性。该方法为代理网关接收终端发送的用于建立TLS连接的https访问请求,代理网关根据预设的筛选策略,判断https访问请求携带的二元组控制参数是否合法,若是,则允许终端通过所述https访问请求建立TLS连接,否则拒绝终端通过所述https访问请求建立TLS连接。这样,便可以使用预设的二元组控制参数灵活地管理和控制用于建立TLS连接的https访问请求,有效地对非法TLS连接进行封堵,为代理网关运行系统提供了更为灵活的保护措施,提高了代理网关业务控制流程的安全性和灵活性。
文档编号H04L29/08GK102685165SQ20111006334
公开日2012年9月19日 申请日期2011年3月16日 优先权日2011年3月16日
发明者海永军, 郭孟振, 黄晓兵 申请人:中兴通讯股份有限公司