專(zhuān)利名稱(chēng):一種基于SSL VPN設(shè)備的Web資源認(rèn)證信息管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)領(lǐng)域,尤其涉及在安全套接字層虛擬專(zhuān)用 網(wǎng)(SSL VPN)中����,遠(yuǎn)程接入設(shè)備訪(fǎng)問(wèn)Web資源時(shí)認(rèn)證信息的管理方法。
背景技術(shù):
SSL VPN是一種采用安全套接字層(Security Socket Layer�,縮略語(yǔ)為SSL)技術(shù) 進(jìn)行加密連接,實(shí)現(xiàn)遠(yuǎn)程訪(fǎng)問(wèn)虛擬專(zhuān)用網(wǎng)絡(luò)(Virtual Private Network����,縮略語(yǔ)為VPN)的 技術(shù)。如圖1所示����,在SSL VPN中只使用瀏覽器認(rèn)證并只訪(fǎng)問(wèn)Web資源的情況下,用戶(hù)和SSL VPN網(wǎng)關(guān)之間建立SSL通道�����,該通道對(duì)應(yīng)為應(yīng)用層的為安全超文本傳輸協(xié)議(HTTPS)連接 當(dāng)用戶(hù)訪(fǎng)問(wèn)Web資源時(shí)���,SSL VPN網(wǎng)關(guān)會(huì)和Web服務(wù)器之間建立TCP或者是SSL通道,同時(shí) 對(duì)應(yīng)應(yīng)用層HTTP或者HTTPS連接�。數(shù)據(jù)用戶(hù)訪(fǎng)問(wèn)WEB資源時(shí),數(shù)據(jù)便在SSL VPN網(wǎng)關(guān)兩端 公網(wǎng)(如圖1所示internet)端口和內(nèi)網(wǎng)(如圖1所示LAN)端口的連接之間進(jìn)行轉(zhuǎn)發(fā)�����。“Cookie”是在用戶(hù)訪(fǎng)問(wèn)服務(wù)器過(guò)程中�����,服務(wù)器生成并暫存在用戶(hù)電腦中的資料��, 用于辨別用戶(hù)身份(見(jiàn) IETF RFC2965 =HTTP State Management Mechanism)�����。它是HTTP (或 HTTPS)協(xié)議頭的一部分���,在瀏覽器(即用戶(hù)端)和服務(wù)器之間傳遞的信息中����,cookie以“名 稱(chēng)-值”的形式進(jìn)行設(shè)置�,cookie有四個(gè)屬性,過(guò)期時(shí)間(expires)�,有效路徑(path),作用 域(domain)和安全屬性(secure)��。所設(shè)置的過(guò)期時(shí)間�����,表示cookie的有效時(shí)間有多長(zhǎng), 超過(guò)有效期則失效���;有效路徑的設(shè)置��,表示cookie有效的目錄����,只有用戶(hù)訪(fǎng)問(wèn)該目錄下的 頁(yè)面時(shí)�,該cookie才被瀏覽器發(fā)送到Web服務(wù)器;作用域表示用戶(hù)訪(fǎng)問(wèn)Web服務(wù)器域名的 范圍��,如設(shè)置為"domain = *· abc. com��,�����,���,則瀏覽器訪(fǎng)問(wèn)a. abc. com, b. abc. com等地址時(shí)都 在HTTP協(xié)議頭中帶上該cookie �;安全屬性通常缺省不設(shè)置���,也就是secure = 0�,當(dāng)其設(shè)置 為1時(shí)����,表示cookie只有在HTTPS連接中進(jìn)行傳輸才有效,HTTP訪(fǎng)問(wèn)時(shí)無(wú)效��。例如圖1所示的場(chǎng)景中��,用戶(hù)接入公網(wǎng)登錄SSL VPN網(wǎng)關(guān)���,并通過(guò)該網(wǎng)關(guān)進(jìn)行Web 資源訪(fǎng)問(wèn)���,包含Web資源請(qǐng)求和認(rèn)證、Web服務(wù)器返回cookie設(shè)置等過(guò)程����。涉及Web資源 認(rèn)證時(shí),輸入用戶(hù)名密碼認(rèn)證后��,Web服務(wù)器往SSL VPN網(wǎng)關(guān)回復(fù)時(shí)�,通過(guò)HTTP回復(fù)頭中的 Set-Cookie命令進(jìn)行cookie信息的設(shè)置、或者Web服務(wù)器通過(guò)HTTP回復(fù)內(nèi)容中的腳本對(duì) 頁(yè)面進(jìn)行cookie設(shè)置����。此cookie信息是用于用戶(hù)訪(fǎng)問(wèn)Web服務(wù)器時(shí)的用戶(hù)身份識(shí)別���。用 戶(hù)在該Web資源頁(yè)面中繼續(xù)進(jìn)行訪(fǎng)問(wèn)操作,發(fā)送HTTP請(qǐng)求時(shí)將總是攜帶該cookie信息���。在SSL VPN中Web資源需要認(rèn)證訪(fǎng)問(wèn)��,當(dāng)配置了較多的Web資源時(shí)��,如果Web資源 將認(rèn)證cookie信息下發(fā)到瀏覽器��,會(huì)受到瀏覽器端對(duì)于cookie數(shù)目和內(nèi)容長(zhǎng)度的限制����,導(dǎo) 致需要認(rèn)證的Web資源出現(xiàn)不能正常訪(fǎng)問(wèn)的情況��。此外�����,由于內(nèi)網(wǎng)的Web服務(wù)器經(jīng)過(guò)外網(wǎng) 向用戶(hù)傳遞認(rèn)證信息���,需要考慮提高信息安全性��。
發(fā)明內(nèi)容
本發(fā)明提出一種基于SSL VPN設(shè)備的Web資源認(rèn)證信息管理方法���,通過(guò)將Web資 源cookie認(rèn)證信息保存到網(wǎng)關(guān)的方式,在網(wǎng)關(guān)端統(tǒng)一���、安全地管理cookie認(rèn)證信息�����,解決了 cookie數(shù)目和內(nèi)容長(zhǎng)度受到瀏覽器端限制的問(wèn)題��,也避免了 Web資源認(rèn)證信息傳送到外 網(wǎng)�。本發(fā)明的基于SSL VPN設(shè)備的Web資源認(rèn)證信息管理方法����,具體包括以下步驟步驟1 用戶(hù)發(fā)出Web資源請(qǐng)求、和認(rèn)證過(guò)程���。SSL VPN網(wǎng)關(guān)接收到用戶(hù)瀏覽器發(fā)送過(guò)來(lái)的訪(fǎng)問(wèn)Web資源的請(qǐng)求���,并進(jìn)行處理。具 體為,該用戶(hù)訪(fǎng)問(wèn)Web請(qǐng)求URL(即網(wǎng)絡(luò)上信息資源的地址)中存在虛擬路徑����,路徑中包含 了認(rèn)證要訪(fǎng)問(wèn)的Web服務(wù)器的域名,端口和訪(fǎng)問(wèn)頁(yè)面路徑����,通過(guò)SSL VPN網(wǎng)關(guān)的URL解析 模塊解析確定,當(dāng)需要登錄SSL VPN網(wǎng)關(guān)時(shí)�����,SSL VPN網(wǎng)關(guān)向用戶(hù)返回cookie A��,作為該網(wǎng) 關(guān)的認(rèn)證信息�����。訪(fǎng)問(wèn)Web服務(wù)器時(shí)���,SSL VPN網(wǎng)關(guān)模擬瀏覽器關(guān)聯(lián)于該請(qǐng)求的用戶(hù)�����,其方法 是首先對(duì)用戶(hù)所綁定的cookie信息進(jìn)行查對(duì)��,如果domain����,path, secure各項(xiàng)都匹配,且 expires項(xiàng)顯示沒(méi)有過(guò)期����,則網(wǎng)關(guān)重構(gòu)HTTP請(qǐng)求����,向Web服務(wù)器轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求并使用步驟 2. 1的方法獲得cookie B完成登錄,或者攜帶Web服務(wù)器的認(rèn)證cookie信息B轉(zhuǎn)發(fā)到Web 服務(wù)器繼續(xù)訪(fǎng)問(wèn)其頁(yè)面���。步驟2 =Web服務(wù)器返回cookie設(shè)置過(guò)程����,其進(jìn)一步包括步驟2. 1 對(duì)于Web服務(wù)器發(fā)送到SSL VPN網(wǎng)關(guān)的HTTP回復(fù)頭進(jìn)行處理����。具體為,網(wǎng)關(guān)對(duì)HTTP回復(fù)頭進(jìn)行檢查����,檢查是否有Set-Cookie項(xiàng),如果發(fā)現(xiàn)該項(xiàng), 則進(jìn)行攔截和解析���,將該cookie信息B的相關(guān)項(xiàng)��,如名稱(chēng)�����,值�����,domain, path, expires解析 出來(lái)�,然后跟用戶(hù)綁定�,并將HTTP回復(fù)頭中的Set-Cookie項(xiàng)刪除。綁定時(shí)����,將用戶(hù)信息、及 Web服務(wù)器的Cookie信息保存在SSL VPN網(wǎng)關(guān)端并記錄其對(duì)應(yīng)的關(guān)系�。當(dāng)有多個(gè)Web服務(wù) 器的Cookie信息時(shí),其可存儲(chǔ)的數(shù)據(jù)量由網(wǎng)關(guān)的硬件容量決定���。步驟2. 2對(duì)于Web服務(wù)器發(fā)送到網(wǎng)關(guān)的回復(fù)內(nèi)容�����,進(jìn)行處理����。具體為,對(duì)于Web服務(wù)器是通過(guò)HTTP回復(fù)內(nèi)容中的腳本對(duì)頁(yè)面進(jìn)行cookie設(shè)置 的情況����,在HTTP回復(fù)內(nèi)容到SSL VPN網(wǎng)關(guān)時(shí),通過(guò)內(nèi)容解析模塊中的腳本解析子模塊����,對(duì) 腳本內(nèi)容進(jìn)行語(yǔ)法分析���,通過(guò)腳本重構(gòu)處理模塊����,對(duì)于腳本操作document, cookie項(xiàng)的地 方�,進(jìn)行腳本替換,通過(guò)替換后的腳本函數(shù)���,實(shí)現(xiàn)瀏覽器端頁(yè)面到SSL VPN網(wǎng)關(guān)端Web資源 cookie項(xiàng)B的獲取����、和更新功能。本發(fā)明的通過(guò)將SSL VPN網(wǎng)關(guān)所配置能夠訪(fǎng)問(wèn)的Web資 源的cookie信息保存在網(wǎng)關(guān)端�,突破了瀏覽器對(duì)統(tǒng)一域名cookie總數(shù)的限制,SSL VPN配 置的Web資源數(shù)量可以不受瀏覽器限制����,保證配置的Web資源均可正常使用,提高了用戶(hù)的 資源效率�����。此外���,本發(fā)明利用SSL VPN網(wǎng)關(guān)端進(jìn)行了用戶(hù)訪(fǎng)問(wèn)Web資源的認(rèn)證cookie信息 B����,給瀏覽器端用戶(hù)下發(fā)的只是SSL VPN網(wǎng)關(guān)的認(rèn)證cookie信息A��,隱藏了內(nèi)網(wǎng)TOB資源的 認(rèn)證信息�,Web資源認(rèn)證信息SSL VPN統(tǒng)一管理,隔離了內(nèi)網(wǎng)資源信息��,保障了內(nèi)網(wǎng)資源的 絕對(duì)安全性��。
下面根據(jù)附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明。圖1表示在SSL VPN中用戶(hù)通過(guò)網(wǎng)關(guān)訪(fǎng)問(wèn)Web服務(wù)器的場(chǎng)景����;圖2是在SSL VPN中本發(fā)明通過(guò)網(wǎng)關(guān)端對(duì)Web資源進(jìn)行統(tǒng)一管理的系統(tǒng)示意圖;圖3是本發(fā)明進(jìn)行資源認(rèn)證管理的系統(tǒng)示意圖�����;圖4為本發(fā)明的一個(gè)SSL VPN Web資源網(wǎng)關(guān)端統(tǒng)一管理方法序列圖�����。
4
其中�����,1 :SSL VPN網(wǎng)關(guān)端Web資源認(rèn)證統(tǒng)一管理系統(tǒng)2 用戶(hù)瀏覽器3 =Web 服務(wù)器11:URL解析模塊12 =HTTP請(qǐng)求重構(gòu)模塊13 用戶(hù)綁定信息數(shù)據(jù)庫(kù)14 腳本重構(gòu)處理模塊15 攔截和解析模塊A :SSL VPN 網(wǎng)關(guān)的認(rèn)證 cookieB =Web服務(wù)器的認(rèn)證cookie
具體實(shí)施例方式下面結(jié)合附圖及實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明����。如圖2所示�����,它是在SSL VPN中本發(fā)明通過(guò)網(wǎng)關(guān)端實(shí)現(xiàn)Web資源統(tǒng)一管理的一個(gè)系 統(tǒng)示意圖�����。公網(wǎng)上眾多外設(shè),包括PC����,筆記本電腦,PDA等���,通過(guò)各自的瀏覽器以建立SSL連 接的方式訪(fǎng)問(wèn)SSL VPN網(wǎng)關(guān)��,只考慮用戶(hù)訪(fǎng)問(wèn)Web資源的應(yīng)用場(chǎng)景����,則用戶(hù)和SSL VPN之間 建立的是HTTPS連接���。SSL VPN網(wǎng)關(guān)在用戶(hù)通過(guò)該網(wǎng)關(guān)要訪(fǎng)問(wèn)LAN內(nèi)部的TOB SERVER時(shí)���, 網(wǎng)關(guān)和Web服務(wù)器之間建立起HTTP或者是HTTPS連接,然后數(shù)據(jù)在網(wǎng)關(guān)和兩端建立的連接 之間進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)�,完成用戶(hù)對(duì)內(nèi)部Web服務(wù)器的訪(fǎng)問(wèn)需求。本發(fā)明的核心是�����,提供一種SSL VPN設(shè)備Web資源認(rèn)證信息網(wǎng)關(guān)端統(tǒng)一管理的方 法。本方法是在使得Web認(rèn)證信息得到正確管理的同時(shí)���,能夠突破瀏覽器對(duì)cookie數(shù)量和 內(nèi)容長(zhǎng)度的限制���,使得SSLVPN配置較多的Web資源時(shí),仍然能夠正常的訪(fǎng)問(wèn)���;再結(jié)合對(duì)安全 性的考慮而綜合得出的��。下面以圖3的系統(tǒng)框圖為例����,說(shuō)明本發(fā)明的基于SSL VPN設(shè)備的Web資源認(rèn)證信 息管理方法的工作過(guò)程�����。步驟1 :Web資源請(qǐng)求和認(rèn)證過(guò)程�����。SSL VPN網(wǎng)關(guān)1接收到用戶(hù)瀏覽器2發(fā)送過(guò)來(lái)的訪(fǎng)問(wèn)Web資源的請(qǐng)求��,并進(jìn)行處 理��。具體為�,該用戶(hù)訪(fǎng)問(wèn)Web請(qǐng)求URL(即網(wǎng)絡(luò)上信息資源的地址)中存在虛擬路徑,路徑中 包含了認(rèn)證要訪(fǎng)問(wèn)的Web服務(wù)器的域名��,端口和訪(fǎng)問(wèn)頁(yè)面路徑���,通過(guò)SSL VPN網(wǎng)關(guān)的URL解 析模塊11解析確定����,當(dāng)需要認(rèn)證信息登錄時(shí)���,SSL VPN網(wǎng)關(guān)向用戶(hù)返回cookie A���,作為該網(wǎng) 關(guān)的認(rèn)證信息。訪(fǎng)問(wèn)Web服務(wù)器3時(shí)�,SSL VPN網(wǎng)關(guān)模擬瀏覽器關(guān)聯(lián)于該請(qǐng)求的用戶(hù),其方 法是首先對(duì)用戶(hù)所綁定的cookie信息進(jìn)行查對(duì)��,如果domain�����,path,secure各項(xiàng)都匹配�����,且 expires項(xiàng)顯示沒(méi)有過(guò)期�,則網(wǎng)關(guān)中通過(guò)HTTP請(qǐng)求重構(gòu)模塊12重構(gòu)HTTP請(qǐng)求,向Web服務(wù) 器轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求并使用步驟2. 1的方法獲得cookie B���,或者攜帶Web服務(wù)器的認(rèn)證cookie B轉(zhuǎn)發(fā)到Web服務(wù)器繼續(xù)訪(fǎng)問(wèn)其頁(yè)面���。步驟2 =Web服務(wù)器3返回cookie設(shè)置過(guò)程,其進(jìn)一步包括步驟2. 1 對(duì)于Web服務(wù)器3發(fā)送到SSL VPN網(wǎng)關(guān)的HTTP回復(fù)頭進(jìn)行處理���。具體為�,網(wǎng)關(guān)對(duì)HTTP回復(fù)頭進(jìn)行檢查��,檢查是否有Set-Cookie項(xiàng)���,如果發(fā)現(xiàn)該項(xiàng)����,則進(jìn)行攔截和解析15���,將該cookie信息B的相關(guān)項(xiàng)�����,如名稱(chēng)�,值�,domain, path, expires解 析出來(lái),然后跟用戶(hù)綁定��,并將HTTP回復(fù)頭中的Set-Cookie項(xiàng)刪除��。綁定時(shí)�,將用戶(hù)信息、 及Web服務(wù)器的Cookie信息保存在SSLVPN網(wǎng)關(guān)端并記錄其對(duì)應(yīng)的關(guān)系��,即如圖3所示用 戶(hù)綁定信息13�����。 步驟2. 2對(duì)于Web服務(wù)器3發(fā)送到網(wǎng)關(guān)的回復(fù)內(nèi)容���,進(jìn)行處理��。
具體為���,對(duì)于Web服務(wù)器3是通過(guò)HTTP回復(fù)內(nèi)容中的腳本對(duì)頁(yè)面進(jìn)行cookie設(shè)置 的情況�����,在HTTP回復(fù)內(nèi)容到SSLVPN網(wǎng)關(guān)時(shí)�,通過(guò)內(nèi)容解析模塊15實(shí)現(xiàn)腳本解析�����,對(duì)腳本內(nèi) 容進(jìn)行語(yǔ)法分析����,通過(guò)腳本重構(gòu)處理模塊14對(duì)于腳本操作document, cookie項(xiàng)的地方,進(jìn) 行腳本替換���,通過(guò)替換后的腳本函數(shù)���,實(shí)現(xiàn)瀏覽器端頁(yè)面到SSL VPN網(wǎng)關(guān)端Web資源cookie 項(xiàng)B的獲取、和更新功能�。通過(guò)腳本的方式進(jìn)行cookie的獲取和設(shè)置的情況,通過(guò)對(duì)頁(yè)面內(nèi)容中腳本�����,使用 腳本處理模塊14進(jìn)行處理后,能夠?qū)崿F(xiàn)瀏覽器訪(fǎng)問(wèn)頁(yè)面中的腳本能夠從網(wǎng)關(guān)獲取或者是 設(shè)置cookie�����。達(dá)到瀏覽器端頁(yè)面腳本訪(fǎng)問(wèn)cookie和網(wǎng)關(guān)保存cookie信息實(shí)時(shí)同步和交互 的目的�。通過(guò)頁(yè)面內(nèi)容中腳本方式設(shè)置和獲取cookie信息時(shí)����,仍然可以正常地通過(guò)重構(gòu) 后的腳本函數(shù)從SSL VPN網(wǎng)關(guān)獲取或者修改Web資源認(rèn)證cookie信息。即使不同的Web 資源出現(xiàn)了同樣的cookie項(xiàng)時(shí)��,同樣能夠保證用戶(hù)正常�、獨(dú)立地訪(fǎng)問(wèn)不同的Web資源。Web資源認(rèn)證信息和用戶(hù)綁定�,Web資源認(rèn)證cookie信息因?yàn)檫^(guò)期時(shí)間失效時(shí), SSL VPN網(wǎng)關(guān)自動(dòng)將該cookie信息刪除�����。實(shí)現(xiàn)和瀏覽器同樣的特性���。Web資源認(rèn)證信息和 用戶(hù)綁定�����,用戶(hù)注銷(xiāo)時(shí)�����,所有的Web資源認(rèn)證信息全部失效��,用戶(hù)不能夠繼續(xù)訪(fǎng)問(wèn)Web資源����。 實(shí)現(xiàn)SSL VPN統(tǒng)一認(rèn)證訪(fǎng)問(wèn)。上述URL解析模塊11��、HTTP請(qǐng)求重構(gòu)模塊12����、用戶(hù)綁定信息數(shù)據(jù)庫(kù)13、腳本重構(gòu) 處理模塊14�����、攔截和解析模塊15�,構(gòu)成SSL VPN網(wǎng)管端的Web資源認(rèn)證統(tǒng)一管理系統(tǒng)。如 圖4所示��,它是本發(fā)明中的一個(gè)SSL VPN登錄訪(fǎng)問(wèn)TOB資源過(guò)程的序列圖����。該圖闡述了 SSL VPN用戶(hù)登錄SSL VPN后�����,訪(fǎng)問(wèn)Web資源時(shí)認(rèn)證信息處理和攜帶的流程�。具體包含以下步 驟步驟S201���、用戶(hù)訪(fǎng)問(wèn)SSL VPN網(wǎng)關(guān),輸入用戶(hù)名�����、密碼進(jìn)行登錄認(rèn)證���。步驟S202����、登錄SSL VPN網(wǎng)關(guān)認(rèn)證成功后�����,網(wǎng)關(guān)給用戶(hù)瀏覽器返回登錄成功后的 資源頁(yè)面�,并且設(shè)置認(rèn)證cookie信息A�����。用戶(hù)繼續(xù)訪(fǎng)問(wèn)WEB資源時(shí)�����,就攜帶該cookie信息 A�����,請(qǐng)求到網(wǎng)關(guān)端����,網(wǎng)關(guān)端根據(jù)該cookie A進(jìn)行身份的驗(yàn)證和授權(quán)��。步驟S203��、用戶(hù)在網(wǎng)關(guān)登錄成功后�����,繼續(xù)進(jìn)行資源頁(yè)面中的Web資源訪(fǎng)問(wèn)���,例如訪(fǎng) 問(wèn)的是內(nèi)網(wǎng)的10. 1. 144. 1的Web服務(wù)器��,并且該Web服務(wù)器是需要輸入用戶(hù)名��、密碼認(rèn)證 的OA辦公系統(tǒng)���,此時(shí)瀏覽器端發(fā)出向SSL VPN網(wǎng)關(guān)發(fā)出HTTP請(qǐng)求�����,請(qǐng)求中攜帶的cookie 信息是網(wǎng)關(guān)的認(rèn)證信息A�。步驟S204�、網(wǎng)關(guān)獲取到訪(fǎng)問(wèn)請(qǐng)求后,通過(guò)cookie找到用戶(hù)信息�����,然后通過(guò)用戶(hù)訪(fǎng) 問(wèn)的URL���,對(duì)該URL使用SSL VPN網(wǎng)關(guān)的URL還原模塊11,從中提取出真正要訪(fǎng)問(wèn)的Web服 務(wù)器的域名(IP��,例如10. 1. 144. 1)���、端口和URL信息�����,再進(jìn)入網(wǎng)關(guān)的HTTP請(qǐng)求重構(gòu)模塊12���, 進(jìn)行重構(gòu)�����,將該認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到Web服務(wù)器����。步驟S205��、Web服務(wù)器對(duì)認(rèn)證的HTTP請(qǐng)求處理��,認(rèn)證成功后�,服務(wù)器會(huì)生成cookie信息B,同時(shí)通過(guò)HTTP協(xié)議中的Set-Cookie項(xiàng)�,將該cookie信息返回到SSL VPN網(wǎng)關(guān)處理。步驟S206���、網(wǎng)關(guān)中模塊15對(duì)從Web服務(wù)器過(guò)來(lái)的HTTP回復(fù)中的Set-Cookie項(xiàng)進(jìn) 行攔截��,提取出cookie信息B�,將cookie信息B與訪(fǎng)問(wèn)的用戶(hù)信息進(jìn)行綁定,如13所示��,同 時(shí)將HTTP回復(fù)頭中的Set-Cookie項(xiàng)刪除�����。再將其轉(zhuǎn)發(fā)給用戶(hù)瀏覽器����。步驟S207、用戶(hù)在該Web資源頁(yè)面中繼續(xù)進(jìn)行訪(fǎng)問(wèn)操作��,發(fā)送HTTP請(qǐng)求給SSL VPN 網(wǎng)關(guān)��,但該請(qǐng)求中總是只攜帶用戶(hù)到網(wǎng)關(guān)的認(rèn)證cookie信息A��。步驟S208��、網(wǎng)關(guān)通過(guò)認(rèn)證cookie信息��,再結(jié)合URL還原模塊11和HTTP重構(gòu)模塊 12還原的發(fā)往Web服務(wù)器的HTTP請(qǐng)求�,從網(wǎng)關(guān)獲取Web服務(wù)器的認(rèn)證cookie信息B�,并插 入到HTTP請(qǐng)求中的Cookie項(xiàng)中。步驟S209、Web服務(wù)器將請(qǐng)求訪(fǎng)問(wèn)的頁(yè)面通過(guò)SSL VPN網(wǎng)關(guān)轉(zhuǎn)發(fā)�,發(fā)送到用戶(hù)瀏覽
器顯不。步驟S210���、頁(yè)面中腳本�����,如javascript能夠操作cookie項(xiàng)��。通過(guò)瀏覽器腳本重 構(gòu)模塊進(jìn)行替換��。使得瀏覽器腳本在操作document, cookie項(xiàng)時(shí)�����,通過(guò)腳本發(fā)送請(qǐng)求包到 SSL VPN網(wǎng)關(guān)端�,對(duì)網(wǎng)關(guān)端保存的該Web服務(wù)器資源相應(yīng)頁(yè)面的cookie項(xiàng)B進(jìn)行獲取或者 是更新操作�。
權(quán)利要求
一種基于SSL VPN設(shè)備的Web資源認(rèn)證信息管理方法,包括用戶(hù)發(fā)出Web資源請(qǐng)求�、和認(rèn)證過(guò)程,以及Web服務(wù)器返回cookie設(shè)置過(guò)程�,其特征為步驟1,在用戶(hù)發(fā)出Web資源請(qǐng)求�����、和認(rèn)證過(guò)程中,SSL VPN網(wǎng)關(guān)向用戶(hù)返回cookie A��,作為該網(wǎng)關(guān)的認(rèn)證信息�����;訪(fǎng)問(wèn)Web服務(wù)器時(shí)���,SSL VPN網(wǎng)關(guān)模擬瀏覽器關(guān)聯(lián)于該請(qǐng)求的用戶(hù)�����,對(duì)用戶(hù)所綁定的cookie信息進(jìn)行查對(duì)��,并重構(gòu)其HTTP請(qǐng)求�,向Web服務(wù)器轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求并使用步驟2.1的方法獲得cookie B完成登錄���,或者攜帶Web服務(wù)器的認(rèn)證cookie信息B轉(zhuǎn)發(fā)到Web服務(wù)器繼續(xù)訪(fǎng)問(wèn)其頁(yè)面�����;步驟2.1�����,在Web服務(wù)器返回cookie設(shè)置過(guò)程中����,對(duì)于Web服務(wù)器發(fā)送到SSLVPN網(wǎng)關(guān)的HTTP回復(fù)頭進(jìn)行處理��,具體過(guò)程為網(wǎng)關(guān)對(duì)HTTP回復(fù)頭進(jìn)行檢查����,檢查是否有Set Cookie項(xiàng),如果發(fā)現(xiàn)該項(xiàng)����,則進(jìn)行攔截和解析,將該cookie信息B的相關(guān)項(xiàng)��,如名稱(chēng)�,值,domain����,path,expires解析出來(lái)���,然后跟用戶(hù)綁定�,并將HTTP回復(fù)頭中的Set Cookie項(xiàng)刪除;步驟2.2����,在Web服務(wù)器返回cookie設(shè)置過(guò)程中,對(duì)于Web服務(wù)器通過(guò)HTTP回復(fù)內(nèi)容中的腳本對(duì)頁(yè)面進(jìn)行cookie設(shè)置的情況進(jìn)行處理����,具體過(guò)程為在HTTP回復(fù)內(nèi)容到SSL VPN網(wǎng)關(guān)時(shí),對(duì)腳本內(nèi)容進(jìn)行語(yǔ)法分析���,對(duì)于腳本操作document.cookie項(xiàng)的地方��,進(jìn)行腳本替換��,通過(guò)替換后的腳本函數(shù)��,實(shí)現(xiàn)瀏覽器端頁(yè)面到SSL VPN網(wǎng)關(guān)端Web資源cookie項(xiàng)B的獲取��、和更新功能�����。
2.根據(jù)權(quán)利要求1所述的基于SSLVPN設(shè)備的Web資源認(rèn)證信息管理方法���,其特征還 在于在SSL VPN網(wǎng)管保留多個(gè)Web服務(wù)器的認(rèn)證信息(13)。
3.根據(jù)權(quán)利要求1或2所述的基于SSLVPN設(shè)備的Web資源認(rèn)證信息管理方法�����,其特 征還在于在所述步驟1中�,用戶(hù)對(duì)Web資源頁(yè)面中繼續(xù)進(jìn)行訪(fǎng)問(wèn)操作,發(fā)送HTTP請(qǐng)求給 SSL VPN網(wǎng)關(guān)��,該請(qǐng)求中總是只攜帶用戶(hù)到網(wǎng)關(guān)的認(rèn)證cookie信息A���。
4.根據(jù)權(quán)利要求1或2所述的基于SSLVPN設(shè)備的Web資源認(rèn)證信息管理方法���,其 特征在于所述步驟2. 2操作cookie項(xiàng)的另一方案是,瀏覽器腳本操作document, cookie 項(xiàng)�����,通過(guò)腳本發(fā)送請(qǐng)求包到SSL VPN網(wǎng)關(guān)端����,對(duì)網(wǎng)關(guān)端保存的該Web服務(wù)器資源相應(yīng)頁(yè)面的 cookie項(xiàng)B進(jìn)行獲取或者是更新操作。
5.根據(jù)權(quán)利要求4所述的基于SSLVPN設(shè)備的Web資源認(rèn)證信息管理方法�,其特征在 于��,在其步驟1中����,用戶(hù)對(duì)Web資源頁(yè)面中繼續(xù)進(jìn)行訪(fǎng)問(wèn)操作���,發(fā)送HTTP請(qǐng)求給SSL VPN網(wǎng) 關(guān)��,該請(qǐng)求中總是只攜帶用戶(hù)到網(wǎng)關(guān)的認(rèn)證cookie信息A��。
全文摘要
本發(fā)明公開(kāi)一種基于SSL VPN遠(yuǎn)程接入設(shè)備對(duì)web資源進(jìn)行訪(fǎng)問(wèn)時(shí)��,Web資源認(rèn)證信息在網(wǎng)關(guān)端進(jìn)行統(tǒng)一�����、安全管理的方法����。該方法通過(guò)將web資源訪(fǎng)問(wèn)認(rèn)證cookie信息�����,保存在SSL VPN網(wǎng)關(guān)端,同時(shí)通過(guò)內(nèi)容的重構(gòu)處理���,保證瀏覽器端頁(yè)面內(nèi)容中腳本對(duì)cookie的操作同樣能夠?qū)崟r(shí)更新到網(wǎng)關(guān)端�����,保證了cookie處理的正確無(wú)誤性,本發(fā)明突破了瀏覽器對(duì)于同一個(gè)域名cookie數(shù)目和cookie項(xiàng)長(zhǎng)度的限制�,使得網(wǎng)關(guān)配置的認(rèn)證web資源無(wú)需受到瀏覽器端關(guān)于cookie的限制;也實(shí)現(xiàn)了網(wǎng)關(guān)內(nèi)網(wǎng)資源的認(rèn)證cookie信息不外泄到公網(wǎng)上�����,更好地保護(hù)了內(nèi)網(wǎng)資源�����。
文檔編號(hào)H04L12/46GK101977224SQ201010522919
公開(kāi)日2011年2月16日 申請(qǐng)日期2010年10月28日 優(yōu)先權(quán)日2010年10月28日
發(fā)明者張希 申請(qǐng)人:神州數(shù)碼網(wǎng)絡(luò)(北京)有限公司