專利名稱:一種網(wǎng)絡資源訪問控制方法�����、裝置及相關設備的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡信息安全技術領域����,尤其涉及一種網(wǎng)絡資源訪問控制方法��、裝置及相關設備��。
背景技術:
虛擬專用網(wǎng)絡(VPN��,Virtual Private Network)被定義為通過公用網(wǎng)絡(可以為因特網(wǎng))建立臨時的、安全的連接�����,是一條穿過公用網(wǎng)絡的安全���、穩(wěn)定隧道�����。VPN可以幫助遠程用戶��、公司分支結構等同公司的內部網(wǎng)建立可見的安全連接���。安全套接層(SSL,Secure Sockets Layer)是一套因特網(wǎng)數(shù)據(jù)安全協(xié)議��,被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數(shù)據(jù)傳輸��。SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間��,通過加密方法保護在因特網(wǎng)上傳輸?shù)臄?shù)據(jù)安全性�。SSL VPN是一種采用SSL加密連接實現(xiàn)遠程訪問的VPN技術。SSL VPN的功能如圖1所示����。其中��,遠程主機與SSL VPN網(wǎng)關終結了 SSL連接�,SSL VPN網(wǎng)關通過與內網(wǎng)服務
器(服務器1��、服務器2......服務器N)建立傳輸控制協(xié)議(TCP����,Transmission Control
Protocol)連接或者直接通過因特網(wǎng)協(xié)議(IP,International Protocol)轉發(fā)���,以明文方式傳送遠程主機發(fā)來的請求�,并將內網(wǎng)服務器的應答通過SSL連接發(fā)送給遠程主機����。為了增強網(wǎng)絡資源訪問的安全性���,SSL VPN網(wǎng)關通過存儲允許訪問的統(tǒng)一資源定位符(URL���,Uniform Resource Locator)列表對遠程主機訪問的網(wǎng)絡資源進行控制。當SSL VPN網(wǎng)關接收到遠程主機發(fā)送的訪問請求時��,SSL VPN網(wǎng)關判斷訪問請求中攜帶的URL是否存在于自身存儲的允許訪問URL列表中,如果存在����,則允許遠程主機訪問該URL對應的內容,否則���,禁止遠程主機訪問該URL對應的內容�。由于允許訪問的URL對應的頁面中可能包含有其它URL鏈接�����,當遠程主機基于允許訪問的URL對應的頁面��,訪問其包含的URL時��,如果SSL VPN網(wǎng)關存儲的允許訪問的URL 中沒有該外部URL時(即根據(jù)SSL VPN存儲的允許訪問的URL列表中不包括該URL)���,將導致SSL VPN網(wǎng)關禁止遠程主機訪問該外部URL的內容��,但是由于遠程主機基于允許訪問的URL對應的頁面訪問該URL����,能夠保證網(wǎng)絡資源訪問的安全性,是允許遠程主機訪問的���。 例如����,在SSL VPN網(wǎng)關上存儲的允許訪問URL列表中包含www. ruijie. net,當遠程主機通過向SSL VPN網(wǎng)關提交包含URL地址為https://sslvpn/www. ruijie. net的訪問請求��,請求SSL VPN網(wǎng)關代理訪問www. ruijie. net時��,SSL VPN網(wǎng)關接收到遠程主機提交的訪問請求之后���,由于自身存儲的允許訪問URL列表中存在書ruijie. net���,便允許遠程主機訪問 www. ruijie. net,同時向www. ruijie. net服務器發(fā)送訪問請求。SSL VPN網(wǎng)關接收到www. ruijie. net服務器的回復后����,修改www. ruijie. net服務器回復的網(wǎng)頁中的URL(在URL 的地址部分加入前綴=Sslvpn/),并將修改后的網(wǎng)頁推送給遠程主機�����。www. ruijie. net服務器回復的網(wǎng)頁中可能包含httpS://SSlVpn/WWW. baidu. com����,此時,若遠程主機通過網(wǎng)頁 www. ruijie. net i方問 https //sslvpn/www. baidu. com��,如果在 SSL VPN 網(wǎng)關上存儲的允許訪問URL列表中不存在www. baidu. com時,將禁止遠程主機訪問www. baidu. com,而實際上允許用戶通過www. ruijie. net訪問www. baidu. com,即允許用戶通過允許訪問的URL對應的頁面訪問該允許訪問的URL對應的頁面中包含的URL��。為了解決上述問題�,現(xiàn)有技術提出了以下兩種解決方案1)手動配置URL類表,根據(jù)允許訪問的URL的內容��,在SSLVPN網(wǎng)關上依次手動添加該允許訪問的URL對應的頁面中包含的URL�����,但是手動配置方法操作繁瑣���,如果允許訪問的URL對應的頁面發(fā)生改變�����,還需要對比原來的URL對應的頁面并手動進行添加或者刪除���;2)關閉授權,關閉授權后遠程主機可以不受限制的訪問所有的URL�,這樣,將降低網(wǎng)絡資源訪問的安全性。由上述描述可知����,如何準確識別遠程主機是否是基于允許訪問的URL對應的頁面訪問不存在于允許訪問URL列表中的URL,以簡化網(wǎng)絡側設備授權流程�,保證網(wǎng)絡資源訪問安全性,成為現(xiàn)有技術中亟待解決的技術問題之一��。
發(fā)明內容
本發(fā)明實施例提供一種網(wǎng)絡資源訪問控制方法���、裝置及相關設備����,用以準確識別遠程主機是否基于允許訪問的URL對應的頁面訪問不存在于允許訪問URL列表中的URL�,以簡化網(wǎng)絡側設備關授權流程,保證網(wǎng)絡資源訪問的安全性�。本發(fā)明實施例提供一種網(wǎng)絡資源訪問控制方法,包括安全套接層虛擬專用網(wǎng)絡網(wǎng)絡側設備接收遠程主機提交的第一統(tǒng)一資源定位符 URL�����,所述第一 URL中包含待驗證授權標簽信息���;并 提取所述待驗證授權標簽信息����;所述網(wǎng)絡側設備判斷所述待驗證授權標簽信息與所述第一 URL對應的授權標簽信息是否匹配���,如果是���,允許所述遠程主機訪問所述第一 URL對應的頁面,如果否��,禁止所述遠程主機訪問所述第一 URL對應的頁面���。本發(fā)明實施例提供一種網(wǎng)絡資源訪問控制裝置���,包括第一接收單元,用于接收遠程主機提交的第一統(tǒng)一資源定位符URL����,所述第一 URL 中包含待驗證授權標簽信息;提取單元�����,用于提取所述待驗證授權標簽信息�����;第一判斷單元,用于判斷所述待驗證授權標簽信息與所述第一 URL對應的授權標簽信息是否匹配�;第一處理單元,用于在所述第一判斷單元的判斷結果為是時��,允許所述遠程主機訪問所述第一 URL對應的頁面�;以及在所述第一判斷單元的判斷結果為否時,禁止所述遠程主機訪問所述第一 URL對應的頁面�����。本發(fā)明實施例提供一種網(wǎng)絡設備�����,包括上述網(wǎng)絡資源訪問控制裝置�。本發(fā)明實施例提供的網(wǎng)絡資源訪問控制方法、裝置及相關設備����,通過在URL中增加一個授權標簽信息,當遠程主機需要訪問該URL對應的頁面時����,向網(wǎng)絡側設備提交該 URL,網(wǎng)絡側設備提取該遠程主機提交的URL中包含的待驗證授權標簽信息�����,并將提取到的待驗證標簽信息與該URL對應的授權標簽信息進行匹配��,如果匹配則允許遠程主機訪問該 URL對應的頁面,否則�,禁止遠程主機訪問該URL對應的頁面,通過上述過程�,能夠準確識別出遠程主機是否是基于允許訪問的URL對應的頁面訪問該URL,從而實現(xiàn)了對網(wǎng)絡資源訪問的動態(tài)授權����,簡化了網(wǎng)絡側設備授權流程,同時保證了網(wǎng)絡資源訪問的安全性���。
本發(fā)明的其它特征和優(yōu)點將在隨后的說明書中闡述�����,并且����,部分地從說明書中變得顯而易見�,或者通過實施本發(fā)明而了解����。本發(fā)明的目的和其他優(yōu)點可通過在所寫的說明書�、權利要求書、以及附圖中所特別指出的結構來實現(xiàn)和獲得�����。
圖1為現(xiàn)有技術中�����,SSL VPN的功能示意圖���;圖2為本發(fā)明實施例中���,網(wǎng)絡資源訪問控制方法的實施流程示意圖;圖3為本發(fā)明實施例中����,遠程主機通過SSL VPN網(wǎng)關訪問URLl和URL2的實施流程示意圖;圖4為本發(fā)明實施例中��,網(wǎng)絡資源訪問控制裝置的結構示意圖�。
具體實施例方式為了在遠程主機通過允許訪問的URL訪問允許訪問不存在于URL列表中的URL 時��,簡化網(wǎng)絡側設備授權流程����,保證網(wǎng)絡資源訪問的安全性����,本發(fā)明實施例提供了一種網(wǎng)絡資源訪問控制方法及相關設備。為了在遠程主機訪問網(wǎng)絡資源的過程中�,準確區(qū)分遠程主機是否是基于允許訪問的URL對應的頁面訪問不存在于URL列表中的URL��,以簡化網(wǎng)絡側設備授權流程�����,保證網(wǎng)絡資源訪問的安全性�,本發(fā)明實施例通過網(wǎng)絡側設備在允許訪問的URL對應的頁面中包含的 URL中添加一個授權標簽信息,其中���,該授權標簽信息可以是URL的一個分層也可以是一個參數(shù)字段等�����。當遠程主機向網(wǎng)絡側設備提交需要訪問的頁面的URL時��,網(wǎng)絡側設備可以提取該URL中包含的授權標簽信息��,并與該URL對應的授權標簽信息進行匹配����,如果匹配,則說明遠程主機是通過允許訪問的URL對應的頁面發(fā)起的請求����,該URL對應的頁面是安全的, 因此�����,網(wǎng)絡側設備將允許該遠程主機訪問該URL對應的頁面�,否則,網(wǎng)絡側設備將禁止遠程主機訪問該URL對應的頁面��。以下結合說明書附圖對本發(fā)明的優(yōu)選實施例進行說明����,應當理解,此處所描述的優(yōu)選實施例僅用于說明和解釋本發(fā)明����,并不用于限定本發(fā)明���,并且在不沖突的情況下,本發(fā)明中的實施例及實施例中的特征可以相互組合����。如圖2所示,為本發(fā)明實施例提供的網(wǎng)絡資源訪問控制方法的實施流程示意圖�, 包括以下步驟S201、網(wǎng)絡側設備接收遠程主機提交的第一 URL����,該第一 URL中包含待驗證授權標
簽信息;具體的����,遠程主機通過網(wǎng)絡側設備訪問某一 URL對應的頁面時�,首先通過瀏覽器向網(wǎng)絡側設備提交該URL;S202、網(wǎng)絡側設備提取該第一 URL中包含的待驗證授權標簽信息��;S203����、網(wǎng)絡側設備判斷該待驗證授權標簽信息與該第一 URL對應的授權標簽信息是否匹配,如果是,執(zhí)行步驟S104��,如果否���,執(zhí)行步驟S105 �;S204�����、允許該遠程主機訪問該第一 URL對應的頁面�;S205、禁止該遠程主機訪問該第一 URL對應的頁面�。較佳地,步驟S203中涉及的該第一 URL對應的授權標簽信息可以按照如下過程生成步驟一���、網(wǎng)絡側設備接收遠程主機提交的第二 URL��,該第二 URL對應的頁面中包含該第一 URL對應的原始URL �;其中�,第一 URL對應的原始URL即為添加授權標簽信息之前的URL。步驟二�、網(wǎng)絡側設備確定該第二 URL在自身存儲的允許訪問URL列表中時,生成原始URL對應的授權標簽信息�����,并將該生成的授權標簽信息確定為第一 URL對應的授權標簽 fn息ο具體實施中,當網(wǎng)絡側設備上生成該原始URL對應的授權標簽信息之后�����,還可以包括以下步驟網(wǎng)絡側設備將該授權標簽信息添加至該原始URL中�����,得到第一 URL�����,并將包含第一 URL的第二URL對應的頁面推送給該遠程主機���。即在網(wǎng)絡側設備推送給遠程主機的第二URL 頁面中����,已將其包含的URL添加了授權標簽信息����。特別地����,網(wǎng)絡側設備在判斷待驗證授權標簽信息與第一 URL對應的授權標簽信息是否匹配之前��,需要確定該待驗證授權標簽信息與授權標簽信息的預設值是否相同����。假設授權標簽信息為URL分層�����,URL分層即為URL中以“/”劃分開的一段內容��,例如���,添加授權標簽信息之前的URL為https://sslVpn/WWW. ruijie. net,則添加授權標簽信息之后的URL 為 https//sslvpn/authinfoofhost/www. ruijie. net,其中�,authinfoofhost 艮口為授權標簽信息����,其預設值為0(預設值可以任意指定,只要能夠標識當前的URL為遠程主機直接通過瀏覽器向網(wǎng)絡側設備提交URL����,請求訪問該URL對應的頁面即可)。當網(wǎng)絡側設備確定遠程主機提交的URL中包含的待驗證授權標簽信息與預設值相同時����,則說明該遠程主機為直接通過瀏覽器直接提交URL�����,請求訪問該URL對應的頁面�,此時�,網(wǎng)絡側設備需要判斷遠程主機提交的URL是否存在于自身存儲的允許訪問URL列表中,如果是����,則網(wǎng)絡側設備允許遠程主機訪問該URL對應的頁面,如果否�����,網(wǎng)絡側設備不允許遠程主機訪問該URL對應的頁面����;當SSL網(wǎng)關確定遠程主機提交的URL中包含的待驗證授權標簽信息與預設值不同時,則說明遠程主機不是直接通過瀏覽器直接提交URL�,此時,網(wǎng)絡側設備需要判斷遠程主機提交的URL中包含的待驗證授權標簽信息與該URL對應的授權標簽信息是否相同���,如果相同�����,則說明遠程主機是基于允許訪問的URL頁面發(fā)起的請求����,網(wǎng)絡側設備允許該遠程主機訪問該 URL對應的頁面���,如果不同�,網(wǎng)絡側設備禁止該遠程主機訪問該URL對應的頁面��。需要說明的是���,本發(fā)明實施例涉及的網(wǎng)絡側設備可以為SSL VPN網(wǎng)關�����,但是本發(fā)明實施例提供的資源訪問控制的方法���,不僅適用于SSL VPN網(wǎng)關,對于采用TOB代理需要進行授權的操作均適用�。為了便于描述,以下以網(wǎng)絡側設備為SSL VPN網(wǎng)關為例進行說明���。具體的�����,假設URLl存在于SSL VPN網(wǎng)關允許訪問的URL列表中����,URL2不存在于SSL VPN網(wǎng)關允許訪問的URL列表中,且URLl對應的頁面中包含有URL2的鏈接�。當遠程主機向SSL VPN網(wǎng)關發(fā)送URLl訪問請求時,假設URLl的地址為https ://sslvpn/0/hostl��,SSL VPN網(wǎng)關接收到遠程主機提交的URLl之后�����,提取URL中包含的授權標簽信息(其值為0)���, 由于授權標簽信息與預設值相同�����,則SSL VPN網(wǎng)關判斷URLl是否存在與SSL VPN網(wǎng)關存儲的允許訪問的URL列表中�,當確定出URLl存在于允許訪問的URL列表中時�,SSL VPN網(wǎng)關允許遠程主機訪問URLl對應的頁面����,并向地址為hostl的服務器發(fā)送請求��,SSL VPN網(wǎng)關接收到地址為hostl的服務器返回的URLl對應的頁面之后���,修改該頁面中包含的所有URL(包括URU),具體的���,SSL VPN網(wǎng)關針對該頁面中包含的每個URL�,生成該URL對應的授權標簽信息�����,并將生成的授權標簽信息添加到該URL中�����,并將添加了授權標簽信息的頁面推送給遠程主機�����,以URL2為例�,假設URL2對應的服務器地址為host2�,則添加了授權標簽信息之后的 URL2 地址為 https://sslvpn/authinfoofhost2/host2��,其中 authinfoofhost2 艮口為 SSL VPN網(wǎng)關為URL2生成的授權標簽信息����。當遠程主機基于URL對應的頁面訪問URL2時,即遠程主機在URL對應的頁面上直接點擊URL2的鏈接�����,將URL2提交給SSL VPN網(wǎng)關����,由于此時URL2的地址為 https//sslvpn/authinfoofhost2/host2, SSL VPN網(wǎng)關提取其中的待驗證授權標簽信息 authinfoofhost2,并與URL2對應的授權標簽信息匹配,如果匹配�,則允許遠程主機訪問 URL2對應的頁面。如果遠程主機通過瀏覽器直接訪問URL2時�����,此時�����,URL2對應的地址為 https://sslvpn/0/host2, SSL VPN網(wǎng)關提取其中的待驗證授權標簽信息(其值為0),由于待驗證授權標簽信息與預設值相同����,則SSL VPN網(wǎng)關判斷URL2是否存在于自身存儲的允許訪問的URL列表中,由于URL2不存在于允許訪問的URL列表中����,則SSL VPN網(wǎng)關禁止遠程主機訪問URL2對應的頁面���。本發(fā)明實施中����,對于SSL VPN網(wǎng)關為每個URL生成授權標簽信息以及對授權標簽信息進行匹配的算法不進行限定���,只要是生成的授權標簽信息能夠認證當前請求問問的 URL即可��。以下通過具體的實施例對SSL VPN網(wǎng)關為每個URL生成授權標簽信息以及對授權標簽信息進行匹配的過程進行說明�����。假設www. ruijie. net為遠程主機原始請求訪問的URLl��,www. baidu. com為遠程主機基于URLl對應的頁面訪問的URL2���,其中一種生成授權標簽信息的方法如下步驟一���、輸入mm. ruijie. net,使用A算法輸出一個值R1,其中A算法可以為輸入一段字符串后��,首先使用消息摘要算法第5版(MD5)算法����,產(chǎn)生一個1 位的信息摘要, 將摘要分成4組����,每組32位,每組之間相互異或后得到一個32位的輸出��。例如�,輸入 ruijie. net,使用 MD5 算法產(chǎn)生一個 128 為的信息摘要265014bl4770be3e99f03539b763 f4fe (此處采用十六進制標識�,轉化為二進制后即為1 位),將其劃分為4組265014bl����、 4770be3e、99fO;3539�、b763f4fe�����,它們之間進行異或之后265014b Ixor 4770be3e xor 99f03539 xorb763f4fe = 4fb36b48,即 Rl = 4fb36b48 ���;步驟二、輸入mm. baidu. com��,使用A算法后得到一個輸出值R2�,具體處理過程與步驟一中輸入棚.ruijie. net的處理過程相同,這里不再贅述��,假設得到的R2 = eb415b30 ��;步驟三�����、使用B算法對Rl和R2進行處理���,得到輸出值R3 ;其中�,B算法為輸入兩個32位數(shù),相互異或后得到一個32位的輸出����,例如Rl xor R2 = 4fb36b48 xor eb415b30 = a4f23078��,及 R3 = a4f23078 ����;步驟四���、輸入Rl和R3�,使用C算法生成授權標簽信息����;其中,C算法為輸入兩個長度為8的字符串��,將它們連接后輸出一個長度為16的字符串�����,例如輸入Rl (4fb36b48)和R3 (a4f23078)后�,輸出值為4fb36b48a4f23078,以及授權標簽信息為4fb36b48a4f23078��。相應地�,當SSL VPN網(wǎng)關提取到遠程主機提交的URL中包含的待驗證授權標簽信息之后���,可以按照以下方法進行授權標簽信息的匹配
步驟一、輸入授權標簽信息����,使用D算法得到兩個輸出值,假設為R5和R6���,其中D 算法與C算法互為逆算法�,即輸入一個長度為16的字符串�����,使用D算法能夠將該字符串拆分為兩個長度為8的字符串��;例如��,輸入授權標簽信息4fb36b48a4f23078���,可以得到兩個輸出值,分別為R5 = 4fb36b48 和 R6 = a4f23078 ��;步驟二�����、輸入mm. baidu. com,使用A算法得到一個輸出值R7 ;具體的�����,假設輸出值R7 = eb415b30 ��;步驟三��、輸入R5和R7使用B算法����,得到輸出值R8,假設R8 = a4f23078 ����;步驟四、判斷R8是否與R6相同����,如果相同,則確定待驗證授權標簽信息與URL2對應的授權標簽信息匹配�����,如果不同,則確定待驗證授權標簽信息與URL2對應的授權標簽信息不匹配�。為了更好地理解本發(fā)明實施例,以下以遠程主機通過SSL VPN網(wǎng)關訪問URLl和 URL2為例對本發(fā)明實施例的實施過程進行說明�����。其中���,URLl存在于SSL VPN網(wǎng)關允許訪問的URL列表中���,URL2不存在于SSL VPN網(wǎng)關允許訪問的URL列表中,且URLl對應的頁面中包含有URL2的鏈接�。 如圖3所示,為遠程主機基于URLl訪問URL2時��,SSL VPN網(wǎng)關對遠程主機進行動態(tài)授權的實施流程示意圖���,包括以下步驟S301、遠程主機向SSL VPN網(wǎng)關提交URLl ����;具體的,用戶通過在瀏覽器中輸入URL1�����,向SSL VPN網(wǎng)關提交URLl,在URLl中包含授權標簽信息的預設值�,例如,遠程主機訪問ruijie. net,當用戶在瀏覽器中輸入 www. ruijie. net并提交之后�,將被修改為https:// sslvpn/0/www. ruijie. net ;S302�����、SSL VPN網(wǎng)關提取URLl中的待驗證授權標簽信息����;S303、SSL VPN網(wǎng)關判斷提取到的待驗證授權標簽信息是否與預設值相同��,如果相同����,則執(zhí)行步驟S304,如果不相同���,執(zhí)行步驟S305 �;S304、SSL VPN網(wǎng)關判斷URLl是否存在于允許訪問的URL列表中���,如果是��,執(zhí)行步驟S306���,如果否,執(zhí)行步驟307 ����;S305、SSL VPN網(wǎng)關對URLl進行動態(tài)授權����;具體的,SSL VPN網(wǎng)關對URLl的動態(tài)授權過程可參見步驟S313 S315����,這里不再贅述。S306����、SSL VPN網(wǎng)關向URLl的服務器hostl發(fā)送請求,請求URLl對應的頁面�����,并執(zhí)行步驟S308 �;S307、SSL VPN網(wǎng)關禁止遠程主機訪問URLl對應的頁面�;S308、SSL VPN網(wǎng)關接收hostl返回的URLl對應的頁面���;S309����、SSL VPN網(wǎng)關修改URLl對應的頁面中包含的所有URL鏈接�;具體的,針對URLl對應的頁面中包含的每個URL (包括URL2)��,SSL VPN網(wǎng)關為該 URL生成其對應的授權標簽信息����,并將該授權標簽信息添加到該URL中;S310���、SSL VPN網(wǎng)關將URLl對應的頁面返回給遠程主機�����;S311��、遠程主機通過URLl對應的頁面向SSL VPN網(wǎng)關提交URL2���,請求訪問URL2對應的頁面����;
9CN 102546594 A具體的�����,遠程主機在訪問URLl對應的頁面的過程中�����,直接在該頁面上點擊URL2鏈接��;S312����、SSL VPN網(wǎng)關提取URL2中包含的待驗證授權標簽信息;S313��、SSL VPN網(wǎng)關判斷提取到的待驗證授權標簽信息與URL2對應的授權標簽信息是否匹配�����,如果是,執(zhí)行步驟S314��,否則��,執(zhí)行步驟S315 ���;S314、SSL VPN網(wǎng)關允許遠程主機訪問URL2對應的頁面��;具體的���,SSL VPN網(wǎng)關將向URL2對應的服務器host2發(fā)送請求����,請求URL2對應的頁面�����。S315�����、SSL VPN禁止遠程主機訪問URL2對應的頁面?�;谕话l(fā)明構思�,本發(fā)明實施例中還提供一種網(wǎng)絡資源訪問控制裝置及一種網(wǎng)絡設備,由于該裝置及網(wǎng)絡設備解決問題的原理與上述網(wǎng)絡資源訪問控制方法相似��,因此該裝置及網(wǎng)絡設備的實施可以參見上述網(wǎng)絡資源訪問控制方法的實施��,重復之處不再贅述�����。如圖4所示�����,為本發(fā)明實施例提供的網(wǎng)絡資源訪問控制裝置����,包括第一接收單元401,用于接收遠程主機提交的第一 URL���,該第一 URL中包含待驗證授權標簽信息�����;提取單元402��,用于提取第一 URL中包含的待驗證授權標簽信息���;第一判斷單元403�����,用于判斷提取單元402提取的待驗證授權標簽信息與所述第一 URL對應的授權標簽信息是否匹配;第一處理單元404�,用于在第一判斷單元403的判斷結果為是時,允許遠程主機訪問第一URL對應的頁面��;以及在第一判斷單元403的判斷結果為否時����,禁止遠程主機訪問第一 URL對應的頁面。具體實施中����,網(wǎng)絡資源訪問控制裝置,還可以包括第二接收單元����,用于接收遠程主機提交的第二 URL��,該第二 URL對應的頁面中包含該第一 URL對應的原始URL ���;生成單元,用于確定第二 URL在自身存儲的允許訪問URL列表中時�,生成該原始 URL對應的授權標簽信息,將生成的授權標簽信息確定為第一 URL對應的授權標簽信息���。具體實施中�����,網(wǎng)絡資源訪問控制裝置����,還可以包括添加單元��,用于將生成單元生成的授權標簽信息添加至原始URL中��,得到第一 URL ���;推送單元��,用于將包含第一 URL的第二 URL對應的頁面推送給所述遠程主機�����。具體實施中�����,網(wǎng)絡資源訪問控制裝置����,還可以包括確定單元,用于在第一判斷單元403判斷所述待驗證授權標簽信息與第一 URL對應的授權標簽信息是否匹配之前����,確定待驗證授權標簽信息與授權標簽信息的預設值不同�����。具體實施中���,網(wǎng)絡資源訪問控制裝置����,還可以包括第二判斷單元�����,用于在第一判斷單元403判斷待驗證授權標簽信息與第一 URL對應的授權標簽信息是否匹配之前,確定該待驗證授權標簽信息與授權標簽信息的預設值相同時����,判斷第一 URL是否在自身存儲的允許訪問URL列表中;
第二處理單元���,用于在第二判斷單元的判斷結果為是時����,允許遠程主機訪問第一 URL對應的頁面��;在第二判斷單元的判斷結果為否時���,禁止遠程主機訪問所述第一 URL對應的頁面����。在本發(fā)明實施例中����,網(wǎng)絡資源訪問控制裝置可以設置在SSL VPN網(wǎng)關中,由SSL VPN網(wǎng)關控制網(wǎng)絡資源的訪問。需要說明的是����,將上述網(wǎng)絡資源訪問控制裝置設置在SSL VPN網(wǎng)關中只是一種較佳實施方式,具體實施中���,可以根據(jù)實際的需要將上述網(wǎng)絡資源訪問控制裝置設置在其它網(wǎng)絡設備中�����,當然也可以設置在新增網(wǎng)絡設備中�����。本領域內的技術人員應明白����,本申請的實施例可提供為方法����、系統(tǒng)����、或計算機程序產(chǎn)品。因此,本申請可采用完全硬件實施例��、完全軟件實施例�、或結合軟件和硬件方面的實施例的形式。而且����,本申請可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(包括但不限于磁盤存儲器、CD-ROM�����、光學存儲器等)上實施的計算機程序產(chǎn)品的形式��。本申請是參照根據(jù)本申請實施例的方法��、設備(系統(tǒng))����、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框�、以及流程圖和/或方框圖中的流程和/或方框的結合?����?商峁┻@些計算機程序指令到通用計算機、專用計算機�、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置�。這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品�����,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能�����。這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設備上�,使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟�����。盡管已描述了本申請的優(yōu)選實施例�����,但本領域內的技術人員一旦得知了基本創(chuàng)造性概念�,則可對這些實施例做出另外的變更和修改�����。所以,所附權利要求意欲解釋為包括優(yōu)選實施例以及落入本申請范圍的所有變更和修改����。本發(fā)明實施例提供的網(wǎng)絡資源訪問控制方法及相關設備,通過在URL中增加一個授權標簽信息���,當遠程主機需要訪問該URL對應的頁面時���,向網(wǎng)絡側設備提交該URL,網(wǎng)絡側設備提取該遠程主機提交的URL中包含的待驗證授權標簽信息����,并將提取到的待驗證標簽信息與該URL對應的授權標簽信息進行匹配,如果匹配則允許遠程主機訪問該URL對應的頁面�����,否則����,禁止遠程主機訪問該URL對應的頁面,通過上述過程���,能夠準確識別出遠程主機是否是基于允許訪問的URL對應的頁面訪問該URL���,從而實現(xiàn)了對網(wǎng)絡資源訪問的動態(tài)授權�,簡化了網(wǎng)絡側設備授權流程�,同時保證了網(wǎng)絡資源訪問的安全性。顯然�����,本領域的技術人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍��。這樣��,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權利要求及其等同技術的范圍之內�,則本發(fā)明也意圖包含這些改動和變型在內。
權利要求
1.一種網(wǎng)絡資源訪問控制方法�,其特征在于,包括網(wǎng)絡側設備接收遠程主機提交的第一統(tǒng)一資源定位符URL���,所述第一 URL中包含待驗證授權標簽信息����;并提取所述待驗證授權標簽信息���;所述網(wǎng)絡側設備判斷所述待驗證授權標簽信息與所述第一 URL對應的授權標簽信息是否匹配�����,如果是���,允許所述遠程主機訪問所述第一 URL對應的頁面,如果否�����,禁止所述遠程主機訪問所述第一 URL對應的頁面�。
2.如權利要求1所述的方法,其特征在于�����,所述第一URL對應的授權標簽信息�����,按照如下方法確定所述網(wǎng)絡側設備接收所述遠程主機提交的第二 URL��,所述第二 URL對應的頁面中包含所述第一 URL對應的原始URL ���;所述網(wǎng)絡側設備確定所述第二 URL在自身存儲的允許訪問URL列表中時���,生成該原始 URL對應的授權標簽信息����,將所述生成的授權標簽信息確定為所述第一 URL對應的授權標息 ο
3.如權利要求2所述的方法����,其特征在于,還包括所述網(wǎng)絡側設備將所述授權標簽信息添加至所述原始URL中�,得到所述第一 URL ;并將包含所述第一 URL的第二 URL對應的頁面推送給所述遠程主機�����。
4.如權利要求1所述的方法�����,其特征在于�����,還包括所述網(wǎng)絡側設備在判斷所述待驗證授權標簽信息與所述第一 URL對應的授權標簽信息是否匹配之前��,確定所述待驗證授權標簽信息與授權標簽信息的預設值不同。
5.如權利要求1所述的方法��,其特征在于�����,還包括所述網(wǎng)絡側設備在判斷所述待驗證授權標簽信息與所述第一 URL對應的授權標簽信息是否匹配之前���,確定所述待驗證授權標簽信息與授權標簽信息的預設值相同時,判斷所述第一 URL是否在自身存儲的允許訪問URL列表中����;以及在判斷結果為是時,允許所述遠程主機訪問所述第一 URL對應的頁面����;在判斷結果為否時,禁止所述遠程主機訪問所述第一 URL對應的頁面��。
6.一種網(wǎng)絡資源訪問控制裝置��,其特征在于�,包括第一接收單元,用于接收遠程主機提交的第一統(tǒng)一資源定位符URL�,所述第一 URL中包含待驗證授權標簽信息�;提取單元��,用于提取所述待驗證授權標簽信息�����;第一判斷單元����,用于判斷所述待驗證授權標簽信息與所述第一 URL對應的授權標簽信息是否匹配;第一處理單元��,用于在所述第一判斷單元的判斷結果為是時��,允許所述遠程主機訪問所述第一 URL對應的頁面�;以及在所述第一判斷單元的判斷結果為否時,禁止所述遠程主機訪問所述第一 URL對應的頁面�����。
7.如權利要求6所述的裝置�����,其特征在于,還包括第二接收單元�����,用于接收所述遠程主機提交的第二 URL�,所述第二 URL對應的頁面中包含所述第一 URL對應的原始URL ;生成單元�,用于確定所述第二 URL在自身存儲的允許訪問URL列表中時,生成該原始URL對應的授權標簽信息���,將所述生成的授權標簽信息確定為所述第一 URL對應的授權標息 ο
8.如權利要求7所述的裝置,其特征在于��,還包括添加單元��,用于將所述生成單元生成的授權標簽信息添加至所述原始URL中��,得到所述第一 URL �;推送單元,用于將包含所述第一 URL的第二 URL對應的頁面推送給所述遠程主機�。
9.如權利要求6所述的裝置,其特征在于���,還包括確定單元��,用于在所述第一判斷單元判斷所述待驗證授權標簽信息與所述第一 URL對應的授權標簽信息是否匹配之前�,確定所述待驗證授權標簽信息與授權標簽信息的預設值不同。
10.如權利要求6所述的裝置�����,其特征在于����,還包括第二判斷單元,用于在所述第一判斷單元判斷所述待驗證授權標簽信息與所述第一 URL對應的授權標簽信息是否匹配之前����,確定所述待驗證授權標簽信息與授權標簽信息的預設值相同時,判斷所述第一 URL是否在自身存儲的允許訪問URL列表中��;第二處理單元�����,用于在所述第二判斷單元的判斷結果為是時�,允許所述遠程主機訪問所述第一 URL對應的頁面;在所述第二判斷單元的判斷結果為否時�,禁止所述遠程主機訪問所述第一 URL對應的頁面。
11.一種網(wǎng)絡設備���,其特征在于����,包括權利要求6 10任一權利要求所述的裝置。
全文摘要
本發(fā)明公開了一種網(wǎng)絡資源訪問控制方法�、裝置及相關設備,用以準確識別遠程主機是否基于允許訪問的URL對應的頁面訪問不存在于允許訪問URL列表中的URL��,以簡化網(wǎng)絡側設備授權流程�,保證網(wǎng)絡資源訪問的安全性。其中���,所述網(wǎng)絡資源訪問控制方法����,包括網(wǎng)絡側設備接收遠程主機提交的第一URL�,所述第一URL中包含待驗證授權標簽信息���;并提取所述第一URL中包含的待驗證授權標簽信息����;所述網(wǎng)絡側設備判斷所述待驗證授權標簽信息與所述第一URL對應的授權標簽信息是否匹配����,如果是���,允許所述遠程主機訪問所述第一URL對應的頁面,如果否�����,禁止所述遠程主機訪問所述第一URL對應的頁面�。
文檔編號H04L29/06GK102546594SQ201110404079
公開日2012年7月4日 申請日期2011年12月7日 優(yōu)先權日2011年12月7日
發(fā)明者彭謙 申請人:北京星網(wǎng)銳捷網(wǎng)絡技術有限公司