專利名稱：一種ssl vpn的內(nèi)網(wǎng)web訪問(wèn)的安全控制方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種SSL VPN的內(nèi)網(wǎng)TOB服務(wù)器訪問(wèn)的安全控制方法。
背景技術(shù)：
SSL VPN是指一種采用SSL (Security Socket Layer，安全套接層)協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn) 程接入的一種新型VPN(Virtual Private Network，虛擬專用網(wǎng)絡(luò))技術(shù)。SSL協(xié)議是網(wǎng) 景公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路 上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對(duì)于內(nèi)、外部應(yīng)用來(lái)說(shuō)，使用SSL可保證信 息的真實(shí)性、完整性和保密性。目前SSL協(xié)議被廣泛應(yīng)用于各種瀏覽器應(yīng)用，也可以應(yīng)用于 Outlook等使用TCP協(xié)議傳輸數(shù)據(jù)的C/S應(yīng)用，而安裝部署SSL VPN的優(yōu)點(diǎn)主要在于1、直 接使用瀏覽器完成操作，無(wú)需安裝獨(dú)立的客戶端，使用靈活方便；2、部署簡(jiǎn)單，無(wú)客戶端，維 護(hù)成本低，網(wǎng)絡(luò)適應(yīng)強(qiáng)；3、對(duì)用戶訪問(wèn)控制權(quán)限控制嚴(yán)格，安全性高，同時(shí)對(duì)用戶使用透明； 因此，SSL VPN自身對(duì)于資源訪問(wèn)的控制尤其是對(duì)內(nèi)網(wǎng)TOB服務(wù)的訪問(wèn)將決定SSL VPN產(chǎn) 品是否成熟的一個(gè)重要標(biāo)志。目前，SSL VPN的主要功能之一是遠(yuǎn)程實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)WEB應(yīng)用的訪問(wèn)控制，具體實(shí)現(xiàn) 為1、遠(yuǎn)程主機(jī)通過(guò)HTTPS訪問(wèn)與SSL VPN網(wǎng)關(guān)建立SSL連接，以加密方式在Internet上 傳送報(bào)文；2、SSL VPN網(wǎng)關(guān)終結(jié)了 SSL連接，與內(nèi)網(wǎng)的TOB服務(wù)器建立HTTP連接，以明文方 式傳送遠(yuǎn)程主機(jī)發(fā)送來(lái)的請(qǐng)求，并將服務(wù)器的應(yīng)答通過(guò)SSL連接發(fā)給遠(yuǎn)程主機(jī)；而遠(yuǎn)程主 機(jī)使用SSL VPN訪問(wèn)內(nèi)網(wǎng)TOB資源，一般有兩種訪問(wèn)方式，一種是一對(duì)一訪問(wèn)，即一個(gè)遠(yuǎn)程 主機(jī)地址對(duì)應(yīng)一個(gè)用戶登錄訪問(wèn)；一種是一對(duì)多訪問(wèn)方式，即一個(gè)遠(yuǎn)程主機(jī)地址對(duì)應(yīng)多個(gè) 用戶登錄訪問(wèn)，或者可以說(shuō)是有多個(gè)用戶使用了同一個(gè)nat規(guī)則、多個(gè)私有地址公用一個(gè) 公網(wǎng)IP地址。對(duì)于第一種訪問(wèn)方式的情況，SSL VPN對(duì)他的用戶訪問(wèn)權(quán)限控制比較簡(jiǎn)單，只要檢 查他的IP地址就可知道其訪問(wèn)權(quán)限；而對(duì)于第二種情況，目前存在的問(wèn)題是沒(méi)有一種合 適的方法既能夠區(qū)別使用同一個(gè)遠(yuǎn)程地址登錄訪問(wèn)的多個(gè)不同用戶，又能夠檢查出多個(gè)不 同用戶訪問(wèn)資源的合法性。

發(fā)明內(nèi)容
本發(fā)明要提供一種SSL VPN的內(nèi)網(wǎng)TOB服務(wù)器訪問(wèn)的安全控制方法，以克服現(xiàn)有 技術(shù)存在的不能區(qū)別使用同一個(gè)遠(yuǎn)程地址登錄訪問(wèn)的多個(gè)不同用戶，也不能檢查出多個(gè)不 同用戶訪問(wèn)資源的合法性的問(wèn)題。為實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案為一種SSL VPN的內(nèi)網(wǎng)TOB訪問(wèn)的安全 控制方法，包括以下步驟(1) SSL VPN網(wǎng)關(guān)接收到遠(yuǎn)程主機(jī)訪問(wèn)內(nèi)網(wǎng)WEB資源的請(qǐng)求；(2) SSL VPN網(wǎng)關(guān)進(jìn)行用戶資源關(guān)聯(lián)單元配置，包括
資源配置單元配置資源列表；用戶配置單元配置用戶列表；用戶資源關(guān)聯(lián)單元配置訪問(wèn)控制規(guī)則，即資源與用戶關(guān)聯(lián)表；(3) SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)IP地址到在線用戶列表進(jìn)行檢查，檢查成功，進(jìn)行 步驟(4)，檢查不成功，進(jìn)行步驟(7)；(4) SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)用戶名和用戶randomID到用戶與隨機(jī)號(hào)對(duì)應(yīng)列表 進(jìn)行檢查，檢查成功，進(jìn)行步驟(5)，檢查不成功，進(jìn)行步驟(7)；(5) SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)用戶名和資源ID號(hào)到資源與用戶關(guān)聯(lián)表進(jìn)行檢 查，檢查成功，進(jìn)行步驟(6)，檢查不成功，進(jìn)行步驟(7)；(6) SSL VPN網(wǎng)關(guān)授權(quán)該遠(yuǎn)程主機(jī)訪問(wèn)權(quán)允許訪問(wèn)；(7) SSL VPN網(wǎng)關(guān)返回未授權(quán)網(wǎng)頁(yè)提示用戶以正確用戶登錄訪問(wèn)。本發(fā)明提供的方法，基于SSL VPN進(jìn)行用戶訪問(wèn)TOB資源的訪問(wèn)控制權(quán)限管理，用 于在遠(yuǎn)程主機(jī)訪問(wèn)內(nèi)網(wǎng)WEB服務(wù)器時(shí)，授權(quán)的用戶能夠訪問(wèn)到的授權(quán)的WEB資源，而未授 權(quán)的用戶不能訪問(wèn)該WEB資源，以保證對(duì)遠(yuǎn)程主機(jī)訪問(wèn)的資源以及訪問(wèn)用戶進(jìn)行合法性檢 查，以最終向遠(yuǎn)端主機(jī)提供正確的網(wǎng)頁(yè)信息，該方法不僅保證了配置的準(zhǔn)確，其網(wǎng)絡(luò)安全性 顯著提高，同時(shí)保證用戶對(duì)資源訪問(wèn)權(quán)限的準(zhǔn)確性和安全性。


圖1為SSL VPN網(wǎng)關(guān)進(jìn)行用戶資源關(guān)聯(lián)單元配置流程圖；圖2為SSL VPN網(wǎng)關(guān)對(duì)遠(yuǎn)程主機(jī)訪問(wèn)權(quán)限檢查單元的流程具體實(shí)施例方式下面將結(jié)合附圖對(duì)本發(fā)明做詳細(xì)地說(shuō)明。本發(fā)明所說(shuō)的一種SSL VPN的內(nèi)網(wǎng)TOB服務(wù)器訪問(wèn)的安全控制方法，是根據(jù)遠(yuǎn)程 主機(jī)的請(qǐng)求，SSL VPN網(wǎng)關(guān)遠(yuǎn)程主機(jī)訪問(wèn)權(quán)限檢查單元對(duì)遠(yuǎn)程主機(jī)訪問(wèn)的資源以及該用戶 進(jìn)行合法性檢查，以最終向遠(yuǎn)端主機(jī)提供正確的網(wǎng)頁(yè)信息，包括以下步驟(1) SSL VPN網(wǎng)關(guān)接收到遠(yuǎn)程主機(jī)訪問(wèn)內(nèi)網(wǎng)WEB資源的請(qǐng)求；(2) SSL VPN網(wǎng)關(guān)進(jìn)行用戶資源關(guān)聯(lián)單元配置；該用戶資源關(guān)聯(lián)單元配置包括資源配置單元配置資源列表；用戶配置單元配置用戶列表；用戶資源關(guān)聯(lián)單元配置訪問(wèn)控制規(guī)則，即資源與用戶關(guān)聯(lián)表。(3) SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)IP地址到在線用戶列表進(jìn)行檢查，檢查成功，進(jìn)行 步驟(4)，檢查不成功，進(jìn)行步驟(7)；(4) SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)用戶名和用戶randomID到用戶與隨機(jī)號(hào)對(duì)應(yīng)列表 進(jìn)行檢查，檢查成功，進(jìn)行步驟(5)，檢查不成功，進(jìn)行步驟(7)；(5) SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)用戶名和資源ID號(hào)到資源與用戶關(guān)聯(lián)表進(jìn)行檢 查，檢查成功，進(jìn)行步驟(6)，檢查不成功，進(jìn)行步驟(7)； (6) SSL VPN網(wǎng)關(guān)授權(quán)該遠(yuǎn)程主機(jī)訪問(wèn)權(quán)允許訪問(wèn)；
(7) SSL VPN網(wǎng)關(guān)返回未授權(quán)網(wǎng)頁(yè)提示用戶以正確用戶登錄訪問(wèn)。下面將通過(guò)具體地例子來(lái)進(jìn)行說(shuō)明，其步驟是(1) SSL VPN網(wǎng)關(guān)接收到遠(yuǎn)程主機(jī)訪問(wèn)內(nèi)網(wǎng)WEB資源的請(qǐng)求；具體情況為包括遠(yuǎn)端主機(jī)在直接點(diǎn)擊網(wǎng)頁(yè)中的超鏈接向SSL VPN網(wǎng)關(guān)發(fā)起TOB 資源請(qǐng)求或用戶出于某種正常的或不正常的方式向SSL VPN網(wǎng)關(guān)發(fā)起的TOB資源請(qǐng)求， 其中不正常的方式較多，如遠(yuǎn)端用戶模仿或借盜別人的超鏈接請(qǐng)求，比如使用同一個(gè)公網(wǎng) IP地址的內(nèi)部?jī)刹煌跈?quán)用戶身份登錄的情況，某一用戶對(duì)另一個(gè)用戶授權(quán)WEB資源發(fā) 起WEB資源請(qǐng)求，這種請(qǐng)求是通過(guò)訪問(wèn)未對(duì)該用戶授權(quán)資源而對(duì)另一用戶授權(quán)的資源的方 式實(shí)現(xiàn)的，具體的通過(guò)手工在瀏覽器網(wǎng)頁(yè)輸入框輸入相應(yīng)假冒的資源請(qǐng)求鏈接的方式實(shí)現(xiàn) 的。例如實(shí)施例遠(yuǎn)端用戶221. 23. 42. 121向SSL VPN發(fā)起以下請(qǐng)求GET/SSL VPN/13/bugzilla/quips. cgi HTTP/1. 1Accept :image/gif,application/vnd. ms-powerpoint,application/msword,Referer http://www.abc.com/bugzilla/buglist.cgi ？ short_desc_type = allwordssubstrAccept-Language :zh_cnAccept-Encoding :gzip,deflateUser-Agent :Mozilla/4. 0 (compatible ；MSIE 6. 0 ；Windows NT 5. 1 ；SVl ； Mozilla/4. 0 (compatible ；MSIE 6. 0 ；Windows NT 5. 1 ；SVl) ；CIBA ；· NETCLR 2. 0. 50727)Host :www. abc. comConnection :Keep_AliveCookie :randomid = 49323432423 ；(2) SSL VPN網(wǎng)關(guān)進(jìn)行用戶資源關(guān)聯(lián)單元配置，參見(jiàn)圖1，包括資源配置單元配置資源列表；用戶配置單元配置用戶列表；用戶資源關(guān)聯(lián)單元配置訪問(wèn)控制規(guī)則，即資源與用戶關(guān)聯(lián)表；(3) SSL VPN網(wǎng)關(guān)遠(yuǎn)程主機(jī)訪問(wèn)權(quán)限檢查單元對(duì)遠(yuǎn)端用戶訪問(wèn)WEB資源的訪問(wèn)控 制權(quán)限進(jìn)行管理，參見(jiàn)圖2，包括①SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)IP地址到在線用戶列表進(jìn)行檢查，本次檢查成功， 繼續(xù)進(jìn)行下一步檢查；本次檢查不成功，進(jìn)行步驟(5)；例如本實(shí)施例中獲取發(fā)起該請(qǐng)求的IP地址221. 23. 42. 121，用戶隨機(jī)號(hào) 49323432423，以及用戶訪問(wèn)的資源/SSL VPN/13/bugzilla/quips. cgi，可見(jiàn)資源號(hào)是13， 訪問(wèn)的是13對(duì)應(yīng)的內(nèi)網(wǎng)資源的bugzilla/quips. cgi網(wǎng)頁(yè)；檢查由SSL VPN網(wǎng)關(guān)用戶上線檢查子單元完成，主要是判斷該用戶是否上線，假定 現(xiàn)在的在線用戶列表有如下實(shí)例.................................221. 23. 42. 121 online111. 53. 42. 2 offline
....................................通過(guò)檢查，發(fā)現(xiàn)該用戶確實(shí)在線，則本次檢查成功。②SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)用戶名和用戶randomID到用戶與隨機(jī)號(hào)對(duì)應(yīng)列表 進(jìn)行檢查，檢查成功，繼續(xù)進(jìn)行下一步檢查；檢查不成功，進(jìn)行步驟(5)；檢查由SSL VPN網(wǎng)關(guān)用戶隨機(jī)號(hào)檢查單元完成，主要是根據(jù)遠(yuǎn)程主機(jī)IP和用戶 randomID號(hào)進(jìn)行檢查a、首先查找用戶名與IP地址對(duì)應(yīng)列表假定現(xiàn)在實(shí)施例中用戶名與IP地址對(duì)應(yīng)列表顯示如下....................................221.23.42.121zhaomz
111.53.42.2ming
221.23.42.121guozong .................................通過(guò)檢查，發(fā)現(xiàn)利用221. 23. 42. 121地址請(qǐng)求的遠(yuǎn)端主機(jī)用戶多于一個(gè)時(shí)，繼續(xù) 對(duì)用戶的randomID進(jìn)行檢查；b、如果前面檢查相應(yīng)的用戶合法，則檢查該用戶的randomID的合法性如下實(shí)施例中顯示SSL VPN網(wǎng)關(guān)用戶隨機(jī)號(hào)分配單元分配的顯示列表.......................................Zhaomz 49323432423Guozong 32353472389Ming62325431422.......................................通過(guò)檢查，發(fā)現(xiàn)用戶zhaomz具有正確的randomID號(hào)，本次檢查認(rèn)為成功。③SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)用戶名和資源ID號(hào)到資源與用戶關(guān)聯(lián)表進(jìn)行檢查， 檢查成功，進(jìn)行步驟(4)；檢查不成功，進(jìn)行步驟(5)假定現(xiàn)在實(shí)施例中的資源與用戶關(guān)聯(lián)表部分顯示如下......................................................Zhaomz 13Zhaomz 345Guo43Qing333......................................................通過(guò)查詢匹配，發(fā)現(xiàn)用戶zhaomz有權(quán)限訪問(wèn)13號(hào)資源，具體13號(hào)資源表示的具 體內(nèi)容，可通過(guò)資源列表進(jìn)行具體查找，查找到匹配資源，允許訪問(wèn)，進(jìn)行步驟(4)，查找不 到匹配資源，則進(jìn)行步驟(5)；(4) SSL VPN網(wǎng)關(guān)授權(quán)該遠(yuǎn)程主機(jī)訪問(wèn)權(quán)允許訪問(wèn)；根據(jù)檢查結(jié)果回應(yīng)相應(yīng)的信息，若三次依次檢查成功，則返回內(nèi)網(wǎng)相應(yīng)網(wǎng)站相應(yīng) 網(wǎng)頁(yè)信息，即允許用戶訪問(wèn)；(5) SSL VPN網(wǎng)關(guān)返回未授權(quán)網(wǎng)頁(yè)提示用戶以正確用戶登錄訪問(wèn)，
根據(jù)檢查結(jié)果回應(yīng)相應(yīng)的信息，若三次檢查一次不成功，則立刻返回未授權(quán)網(wǎng)頁(yè)， 即不允許訪問(wèn)；例如本實(shí)施例中下述網(wǎng)頁(yè)<html><body>
You don， t have permission to access/SSL VPN/13on this server. </p>
Please try again later use other identity. </p></body></html>。通過(guò)使用本發(fā)明的控制方法，在遠(yuǎn)程主機(jī)訪問(wèn)內(nèi)網(wǎng)WEB服務(wù)器時(shí)進(jìn)行合理的訪問(wèn)控制，可以允許和引導(dǎo)合法用戶訪問(wèn)正確的WEB資源，杜絕非法用戶訪問(wèn)不應(yīng)該訪問(wèn)的內(nèi) 網(wǎng)WEB資源，從而提高了 SSL VPN網(wǎng)關(guān)設(shè)備的安全性，保證用戶對(duì)資源訪問(wèn)權(quán)限的準(zhǔn)確性和 安全性。
權(quán)利要求
一種SSL VPN的內(nèi)網(wǎng)WEB訪問(wèn)的安全控制方法，包括以下步驟(1)SSL VPN網(wǎng)關(guān)接收到遠(yuǎn)程主機(jī)訪問(wèn)內(nèi)網(wǎng)WEB資源的請(qǐng)求；(2)SSL VPN網(wǎng)關(guān)進(jìn)行用戶資源關(guān)聯(lián)單元配置；(3)SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)IP地址到在線用戶列表進(jìn)行檢查，檢查成功，進(jìn)行步驟(4)，檢查不成功，進(jìn)行步驟(7)；(4)SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)用戶名和用戶randomID到用戶與隨機(jī)號(hào)對(duì)應(yīng)列表進(jìn)行檢查，檢查成功，進(jìn)行步驟(5)，檢查不成功，進(jìn)行步驟(7)；(5)SSL VPN網(wǎng)關(guān)根據(jù)遠(yuǎn)程主機(jī)用戶名和資源ID號(hào)到資源與用戶關(guān)聯(lián)表進(jìn)行檢查，檢查成功，進(jìn)行步驟(6)，檢查不成功，進(jìn)行步驟(7)；(6)SSL VPN網(wǎng)關(guān)授權(quán)該遠(yuǎn)程主機(jī)訪問(wèn)權(quán)允許訪問(wèn)；(7)SSL VPN網(wǎng)關(guān)返回未授權(quán)網(wǎng)頁(yè)提示用戶以正確用戶登錄訪問(wèn)。
2.根據(jù)權(quán)利要求1所述的一種SSL VPN的內(nèi)網(wǎng)TOB訪問(wèn)的安全控制方法，其特征在于 用戶資源關(guān)聯(lián)單元配置包括資源配置單元配置資源列表； 用戶配置單元配置用戶列表；用戶資源關(guān)聯(lián)單元配置訪問(wèn)控制規(guī)則，即資源與用戶關(guān)聯(lián)表。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種SSL VPN的內(nèi)網(wǎng)WEB服務(wù)器訪問(wèn)的安全控制方法。目前的SSL VPN對(duì)他的用戶訪問(wèn)權(quán)限控制中，沒(méi)有一種合適的方法既能夠區(qū)別使用同一個(gè)遠(yuǎn)程地址登錄訪問(wèn)的多個(gè)不同用戶，又能夠檢查出多個(gè)不同用戶訪問(wèn)資源的合法性。本發(fā)明提供的一種SSL VPN的內(nèi)網(wǎng)WEB服務(wù)器訪問(wèn)的安全控制方法，是根據(jù)遠(yuǎn)程主機(jī)的請(qǐng)求，SSL VPN網(wǎng)關(guān)遠(yuǎn)程主機(jī)訪問(wèn)權(quán)限檢查單元對(duì)遠(yuǎn)程主機(jī)訪問(wèn)的資源以及該用戶進(jìn)行合法性檢查，以最終向遠(yuǎn)端主機(jī)提供正確的網(wǎng)頁(yè)信息。該方法不僅保證了配置的準(zhǔn)確，其網(wǎng)絡(luò)安全性顯著提高，同時(shí)保證用戶對(duì)資源訪問(wèn)權(quán)限的準(zhǔn)確性和安全性。
文檔編號(hào)H04L12/46GK101989974SQ200910023499
公開(kāi)日2011年3月23日 申請(qǐng)日期2009年8月4日 優(yōu)先權(quán)日2009年8月4日
發(fā)明者何劍鋒, 趙明彰 申請(qǐng)人:西安交大捷普網(wǎng)絡(luò)科技有限公司