鬼佬大哥大
  • / 9
  • 下載費用:30 金幣  

基于代理網關對訪問請求進行控制的方法及裝置.pdf

關 鍵 詞:
基于 代理 網關 訪問 請求 進行 控制 方法 裝置
  專利查詢網所有資源均是用戶自行上傳分享,僅供網友學習交流,未經上傳用戶書面授權,請勿作他用。
摘要
申請專利號:

CN201110063342.4

申請日:

2011.03.16

公開號:

CN102685165B

公開日:

2015.01.28

當前法律狀態:

授權

有效性:

有權

法律詳情: 授權|||實質審查的生效IPC(主分類):H04L 29/08申請日:20110316|||公開
IPC分類號: H04L29/08 主分類號: H04L29/08
申請人: 中興通訊股份有限公司
發明人: 郭孟振; 黃曉兵; 海永軍
地址: 518057 廣東省深圳市南山區高新技術產業園科技南路中興通訊大廈法務部
優先權:
專利代理機構: 北京同達信恒知識產權代理有限公司 11291 代理人: 黃志華
PDF完整版下載: PDF下載
法律狀態
申請(專利)號:

CN201110063342.4

授權公告號:

102685165B||||||

法律狀態公告日:

2015.01.28|||2012.11.14|||2012.09.19

法律狀態類型:

授權|||實質審查的生效|||公開

摘要

本發明涉及通信領域,公開了一種基于代理網關對http訪問請求進行控制的方法,用以提高代理網關應用系統的安全性。該方法為:代理網關接收終端發送的用于建立TLS連接的https訪問請求,代理網關根據預設的篩選策略,判斷https訪問請求攜帶的二元組控制參數是否合法,若是,則允許終端通過所述https訪問請求建立TLS連接,否則拒絕終端通過所述https訪問請求建立TLS連接。這樣,便可以使用預設的二元組控制參數靈活地管理和控制用于建立TLS連接的https訪問請求,有效地對非法TLS連接進行封堵,為代理網關運行系統提供了更為靈活的保護措施,提高了代理網關業務控制流程的安全性和靈活性。

權利要求書

1.基于代理網關對https訪問請求進行控制的方法,其特征在于,包括:
代理網關接收終端發送的用于建立安全傳輸層協議TLS連接的https訪問
請求,所述https訪問請求中至少攜帶有二元組控制參數;
代理網關根據預設的篩選策略,判斷所述https訪問請求攜帶的二元組控
制參數是否合法,若是,則允許所述終端通過所述https訪問請求建立TLS連
接,否則拒絕所述終端通過所述https訪問請求建立TLS連接。
2.如權利要求1所述的方法,其特征在于,所述代理網關為WAP網關,
或者,為WEB網關。
3.如權利要求1所述的方法,其特征在于,所述二元組控制參數包括終
端請求訪問的域名和端口號,或者,終端請求訪問的IP地址和端口號。
4.如權利要求1、2或3所述的方法,其特征在于,所述代理網關接收終
端發送的https訪問請求后,確定本地啟動了TLS訪問控制功能時,再根據預
設的篩選策略,判斷所述https訪問請求攜帶的二元組控制參數是否合法。
5.如權利要求1、2或3所述的方法,其特征在于,所述代理網關根據預
設的篩選策略,判斷所述https訪問請求攜帶的二元組控制參數是否合法,包
括:
若所述篩選策略設置為黑名單策略,則所述代理網關判斷所述二元組控制
參數是否記錄在黑名單中,若是,則確定所述二元組控制參數不合法,否則,
確定所述所述二元組控制參數合法;
若所述篩選策略設置為白名單策略,則所述代理網關判斷所述二元組控制
參數是否記錄在白名單中,若是,則確定所述二元組控制參數合法,否則,確
定所述所述二元組控制參數不合法。
6.如權利要求1、2或3所述的方法,其特征在于,所述代理網關允許所
述終端通過所述https訪問請求建立TLS連接,包括:指示所述終端與相應的
服務提供服務器建立TLS連接,并在建立TLS連接后,指示終端直接與所述
服務提供服務器進行數據交互;
所述代理網關拒絕所述終端通過所述https訪問請求建立TLS連接,包括:
所述代理網關向所述終端返回拒絕建立TLS連接的響應消息,并斷開本地與所
述終端的通信連接。
7.基于代理網關對https訪問請求進行控制的裝置,其特征在于,包括:
通信單元,用于接收終端發送的用于建立安全傳輸層協議TLS連接的https
訪問請求,所述https訪問請求中至少攜帶有二元組控制參數;
控制單元,用于根據預設的篩選策略,判斷所述https訪問請求攜帶的二
元組控制參數是否合法,若是,則允許所述終端通過所述https訪問請求建立
TLS連接,否則拒絕所述終端通過所述https訪問請求建立TLS連接。
8.如權利要求7所述的裝置,其特征在于,所述裝置為WAP網關,或者,
為WEB網關。
9.如權利要求7所述的裝置,其特征在于,所述通信單元接收到的二元
組控制參數包括終端請求訪問的域名和端口號,或者,終端請求訪問的IP地
址和端口號。
10.如權利要求7、8或9所述的裝置,其特征在于,所述通信單元接收
終端發送的https訪問請求后,所述控制單元確定本地啟動了TLS訪問控制功
能時,再根據預設的篩選策略,判斷所述https訪問請求攜帶的二元組控制參
數是否合法。
11.如權利要求7、8或9所述的裝置,其特征在于,所述控制單元根據
預設的篩選策略,判斷所述https訪問請求攜帶的二元組控制參數是否合法,
包括:
若所述篩選策略設置為黑名單策略,則所述控制單元判斷所述二元組控制
參數是否記錄在黑名單中,若是,則確定所述二元組控制參數不合法,否則,
確定所述所述二元組控制參數合法;
若所述篩選策略設置為白名單策略,則所述控制單元判斷所述二元組控制
參數是否記錄在白名單中,若是,則確定所述二元組控制參數合法,否則,確
定所述所述二元組控制參數不合法。
12.如權利要求7、8或9所述的裝置,其特征在于,所述控制單元允許
所述終端通過所述https訪問請求建立TLS連接,包括:通過所述通信單元指
示所述終端與相應的服務提供服務器建立TLS連接,并在建立TLS連接后,
指示終端直接與所述服務提供服務器進行數據交互;
所述控制單元拒絕所述終端通過所述https訪問請求建立TLS連接,包括:
通過所述通信單元向所述終端返回拒絕建立TLS連接的響應消息,并斷開本地
與所述終端的通信連接。

說明書

基于代理網關對訪問請求進行控制的方法及裝置

技術領域

本發明涉及通信領域,特別涉及一種基于Https訪問請求進行控制的方法
及裝置。

背景技術

隨著互聯網技術的發展,用戶對互聯網提供規模更大,形式更豐富的服務
的需求也在不斷增長。目前,通常采用WAP(Wireless?Application?Protocol,
無線應用協議)網關作為終端用戶的上網代理,WAP網關最基本的功能是作
為終端的代理服務器,代理終端訪問WAP網站和互聯網內容,提供基本的http
代理服務和WAP1.x的協議轉換功能。為了保護用戶的私密數據,WAP網關
提供了https請求的加密數據訪問通道,稱為TLS(Transport?Layer?Security?
Protocol,安全傳輸層協議)隧道,用戶通過TLS隧道兩端的進行密鑰協商,
傳輸過程中以加密數據進行傳輸,使得用戶重要數據得以保護。

但https(指使用了TLS加密的http服務)代理服務自身存在的缺陷,即
HTTP?CONNECT代理服務器是一種能夠允許用戶建立TCP連接到任何端口的
代理服務器,這意味著這種代理不僅可用于http代理服務,還可以用于FTP、
IRC、RM流服務等,甚至可以用于掃描、攻擊,如,終端可以利用WAP網關
對Https請求數據不能進行處理的缺陷,使用HTTP?CONNECT代理對WAP
網關重要系統進行掃描,攻擊等。

有鑒于此,需要設計一種新的方式,對發往WAP網站的TLS請求(即使
用的TLS加密的https請求)進行控制,對部分非法的TLS請求及時進行封堵,
以達到保護系統安全的目的。

發明內容

本發明實施例提供基于代理網關對https訪問請求進行控制的方法及裝置,
用于提高代理網關應用系統的安全性。

本發明實施例提供的具體技術方案如下:

基于代理網關對https訪問請求進行控制的方法,包括:

代理網關接收終端發送的用于建立TLS連接的https訪問請求,所述https
訪問請求中至少攜帶有二元組控制參數;

代理網關根據預設的篩選策略,判斷所述https訪問請求攜帶的二元組控
制參數是否合法,若是,則允許所述終端通過所述https訪問請求建立TLS連
接,否則拒絕所述終端通過所述https訪問請求建立TLS連接。

基于代理網關對https訪問請求進行控制的裝置,包括:

通信單元,用于接收終端發送的用于建立TLS連接的https訪問請求,所
述https訪問請求中至少攜帶有二元組控制參數;

控制單元,用于根據預設的篩選策略,判斷所述https訪問請求攜帶的二
元組控制參數是否合法,若是,則允許所述終端通過所述https訪問請求建立
TLS連接,否則拒絕所述終端通過所述https訪問請求建立TLS連接。

本發明實施例中,在代理網關中增設了TLS訪問控制功能,可以使用預設
的二元組控制參數靈活地管理和控制用于建立TLS連接的https訪問請求,從
而有效地對非法TLS連接進行封堵,為代理網關運行系統提供了更為靈活的保
護措施,提高了代理網關業務控制流程的安全性和靈活性。

附圖說明

圖1為本發明實施例中WAP網關應用系統體系架構示意圖;

圖2為本發明實施例中WAP網關功能結構示意圖;

圖3為本發明實施例中WAP網關對Https訪問請求進行控制示意流程圖;

圖4為本發明實施例中WAP網關對Https訪問請求進行控制詳細流程圖。

具體實施方式

為了實現代理網關對Https訪問請求的控制,防止終端通過TLS隧道對代
理網關進行非正常操作,從而提高代理網關應用系統的安全性,本發明實施例
中,代理網關接收終端發送用于建立TLS連接的的https訪問請求,該https
訪問請求中至少攜帶有二元組控制參數,代理網關根據預設的篩選策略,判斷
接收的https訪問請求攜帶的二元組控制參數是否合法,若是,則允許終端通
過該https訪問請求建立TLS連接,否則,拒絕終端通過該https訪問請求建立
TLS連接。

本發明實施例中,所謂的代理網關可以是WAP網關,也可以是WEB網
關,而所謂的二元組控制參數可以包括終端請求訪問的域名和端口號,也可以
是終端請求訪問的IP地址和端口號;端口號可以按照端口號號段配置。

另一方面,本發明實施例中,為了令代理網關具有對https訪問請求的控
制功能,可以采用SP(Server?Provide,服務提供)列表的形式記錄代理網關
使用的篩選策略,篩選策略可以設置為黑名單,也可以設置為白名單,兩者任
選其中,但不可同時使用,所謂的黑名單是指:不允許采用SP列表中記錄的
二元組控制參數建立TLS連接,而所謂白名單是指:僅允許使用SP列表中記
錄的二元組控制參數建立TLS連接;進一步地,SP列表中還可以設置有用于
指示是否啟動TLS連接控制功能的配置參數;當代理網關啟動后,讀取并加載
預設的SP列表,以及按照SP列表的配置內容對終端發送的用于建立TLS連
接的https訪問請求進行相應控制。

下面以代理網關是WAP網關為例,結合附圖對本發明優選的實施方式進
行詳細說明。

參閱圖1所示,本發明實施例中,WAP網關應用系統中包括終端和WAP
網關,其中,終端用于通過WAP網關向請求各種http應用服務,WAP網關用
于對終端的http訪問請求進行TLS訪問控制,如圖1所示,WAP網關應用系
統中還包括SP?Server,用于存儲各類http服務資源,與通過WAP網關篩選的
終端建立TLS連接,將通過該TLS連接向終端提供本地存儲的http服務資源。
若代理網關為WEB網關,則上述系統架構同樣適用于WEB應用系統,在此
不再贅述。

參閱圖2所示,本發明實施例中,7、WAP網關中設置有通信單元20和
控制單元21,其中,

通信單元20,用于接收終端發送的用以建立TLS連接的https訪問請求,
該https訪問請求中至少攜帶有二元組控制參數;

控制單元,用于根據預設的篩選策略,判斷接收的https訪問請求攜帶的
二元組控制參數是否合法,若是,則允許終端通過該https訪問請求建立TLS
連接,否則拒絕終端通過該https訪問請求建立TLS連接。

若代理網關為WEB網關,同樣適用于上述WAP網關中設置的各種功能
單元,在此不再贅述。

參閱圖3所示,本發明實施例,WAP網關對終端發送的https訪問請求進
行控制的示意流程如下:

步驟300:WAP網關接收終端發送的用于建立TLS連接的https訪問請求,
該https訪問請求中至少攜帶有二元組控制參數。

本實施例中,為了安全起見,WAP網關支持radius服務(上線鑒權服務),
即WAP網關在收到終端發送的https訪問請求后,查詢到該終端的MSISDN
(如,手機號),并在確定該終端的MSISDN合法后,再執行步驟310。

另一方面,WAP網關接收終端發送的https訪問請求后,也可以根據SP
列表中記錄的配置參數,確定本地啟動了TLS訪問控制功能時,再執行步驟
310。

步驟310:WAP網關根據預設的篩選策略,判斷接收的https訪問請求攜
帶的二元組控制參數是否合法,若是,則允許終端通過該https訪問請求建立
TLS連接,否則,拒絕終端通過該https訪問請求建立TLS連接。

本實施例中,WAP網關執行根據預設的篩選策略,判斷接收的https訪問
請求攜帶的二元組控制參數是否合法時,執行以下操作:

若篩選策略設置為黑名單策略,則WAP網關判斷https訪問請求消息中攜
帶的二元組控制參數是否記錄在黑名單中,若是,則確定該二元組控制參數不
合法,否則,確定該二元組控制參數合法;

若篩選策略設置為白名單策略,則WAP網關判斷https訪問請求消息中攜
帶的二元組控制參數是否記錄在白名單中,若是,則確定該二元組控制參數合
法,否則,確定該所述二元組控制參數不合法。

基于上述實施例,參閱圖4所示,本發明實施例中,WAP網關對終端發
送的https訪問請求進行控制的詳細流程如下:

步驟400:WAP網關接收終端發送的https訪問請求。

步驟410:WAP網關判斷接收的https訪問請求是否是請求建立TLS連接
的請求消息,若是,則進行步驟430;否則,進行步驟420。

本實施例中,WAP網關可以根據https訪問請求中指定的標志位來確定該
https訪問請求是否用于請求建立TLS連接。

步驟420:WAP網關對所述https訪問請求進行業務訪問控制。

步驟430:WAP網關判斷本地是否啟用了TLS訪問控制功能?若是,則
進行步驟480;否則,進行步驟440;

本實施例中,啟用/關閉TLS訪問控制功能的按鈕可以設置在操作界面上,
管理人員可以根據實際需要,啟用/關閉TLS訪問控制功能,不需要重啟整個
業務系統,即時生效。

步驟440:WAP網關判斷本地配置的篩選策略為黑名單策略還是白名單策
略,若是黑名單策略,則執行步驟450;若是白名單策略,則執行步驟460。

步驟450:WAP網關判斷https訪問請求中攜帶的請求建立連接的二元組
控制參數是否記錄在黑名單中?若是,則執行步驟470;否則,執行步驟480;

步驟460;WAP網關判斷https訪問請求中攜帶的請求建立連接的二元組
控制參數是否記錄在白名單中?若是,則執行步驟480;否則,執行步驟470;

步驟470;WAP網關拒絕終端建立TLS連接,接著,執行步490。

WAP網關執行步驟470時,向終端返回拒絕建立TLS連接的響應消息,
并斷開本地與終端之間的通信連接,如,TCP連接。

步驟480:WAP網關允許終端建立TLS連接,接著,執行步驟490。

執行步驟480時,WAP網關指示終端與其請求建立TLS連接的SP?Server
建立TLS隧道(即TLS連接),并在建立TLS隧道后,指示終端直接與SP?Server
通過TLS隧道進行數據交互,無需再經過WAP網關;

步驟490:WAP網關將TLS訪問控制流程的執行結果記錄在日志文件中。

在日志文件中,WAP網關會記錄TLP隧道的訪問記錄(也稱為https訪問
內容),包含訪問內容、訪問開始時間、結束時間、訪問結果(如,TLS隧道
建立是否成功或被拒絕)等等信息,用于后續管理操作。

當然,對于WEB網關,上述實施例中記錄的流程同樣適用,在此不再贅
述。

本發明實施例中,上述TLS連接兼容SSL(Secure?Sockets?Layer,安全套
接層)相關協議,因此,同樣適用于采用SSL相關轉文的網絡環境,在此亦不
再贅述。

本發明實施例中,在代理網關中增設了TLS訪問控制功能,可以使用預設
的二元組控制參數靈活地管理和控制用于建立TLS連接的https訪問請求,從
而有效地對非法TLS連接進行封堵,為代理網關運行系統提供了更為靈活的保
護措施,提高了代理網關業務控制流程的安全性和靈活性。
進一步地,整個TLS訪問控制流程不需要運營商參與,并且對終端用戶透明,
對非法的https訪問請求可以直接拒絕,從而保護了運營商的設備和運行系統
的安全,并且不僅僅適應于WAP網關應用系統,其他所有應用到TLS訪問的
應用系統都可以使用本發明進行非法TLS連接封堵,保護對應的系統從而提高
了業務訪問控制的靈活性,為用戶提供更為安全的http服務。

顯然,本領域的技術人員可以對本發明進行各種改動和變型而不脫離本發
明的精神和范圍。這樣,倘若本發明的這些修改和變型屬于本發明權利要求及
其等同技術的范圍之內,則本發明也意圖包含這些改動和變型在內。

關于本文
本文標題:基于代理網關對訪問請求進行控制的方法及裝置.pdf
鏈接地址:http://www.wwszu.club/p-6420911.html
關于我們 - 網站聲明 - 網站地圖 - 資源地圖 - 友情鏈接 - 網站客服 - 聯系我們

[email protected] 2017-2018 zhuanlichaxun.net網站版權所有
經營許可證編號:粵ICP備17046363號-1 
 


收起
展開
鬼佬大哥大