CN101345752B - 保证移动终端访问web资源安全的方法、装置及系统 - Google Patents
保证移动终端访问web资源安全的方法、装置及系统 Download PDFInfo
- Publication number
- CN101345752B CN101345752B CN2008101179329A CN200810117932A CN101345752B CN 101345752 B CN101345752 B CN 101345752B CN 2008101179329 A CN2008101179329 A CN 2008101179329A CN 200810117932 A CN200810117932 A CN 200810117932A CN 101345752 B CN101345752 B CN 101345752B
- Authority
- CN
- China
- Prior art keywords
- web resource
- mobile terminal
- packet
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明公开了一种保证移动终端访问WEB资源安全的方法、装置及系统,所述方法是基于推送邮件业务平台的,包括:邮件代理网关通过推送邮件业务通道接收数据包;判断接收的数据包是否为移动终端浏览器发送的请求访问WEB资源的HTTP数据包;如果是,则获得所述HTTP数据包请求的WEB资源;通过所述推送邮件业务通道向所述移动终端浏览器返回所述WEB资源。利用本发明,可以为用户访问WEB资源提供安全保障。
Description
技术领域
本发明涉及网络技术,具体涉及一种保证移动终端访问WEB资源安全的方法、装置及系统。
背景技术
随着移动通信技术以及因特网技术的发展,WAP(Wireless ApplicationProtocol,无线应用协议)技术已经成为移动终端访问无线信息服务的全球主要标准,也是实现移动数据以及增值业务的技术基础。WAP协议定义了一种移动通信终端连接因特网的标准方式,提供了一套统一、开放的技术平台,使移动设备可以方便地访问以统一的内容格式表示的因特网以及因特网的信息,享受多种应用服务,比如收发电子邮件,查询数据、浏览金融信息、财经信息等等。
通常,WAP系统包括WAP终端、WAP网关、WEB服务器。其中WAP网关起着协议的翻译和转换作用,是联系无线通信网络与因特网的桥梁。WAP网关与WEB服务器之间通过HTTP(Hypertext Transfer Protocol,超文本传输协议)进行通信,WEB存储着大量的信息,供WAP无线用户访问、查询、浏览。比如,移动终端访问WEB资源的方法大多是通过移动终端的浏览器完成的,其访问过程大致如下:移动终端通过无线连接到运营商的接入设备,如交换机、路由器、DNS(Domain Name Server,域名服务器)等,接入设备判断用户为WAP访问,则给移动终端分配一个内网地址,然后将路由指向WAP网关。移动终端用户在浏览器地址中输入一个网址,点击浏览后该网址被路由到WAP网关上,WAP网关根据该网址去访问WEB网站,将返回的网页经过处理后返回给移动终端,移动终端浏览器显示网页内容。
为了保证WAP应用的安全性,WAP采用与TLS/SSL(Transport LayerSecurity/Secure Sockets Layer,传输层安全/安全套接层)协议类似的WTLS(Wireless Transport Layer Security,无线传输层安全)协议实现传输层的安全性,从而保证信息在WAP网关和WAP终端之间的安全性。如同TLS/SSL对于互 联网的作用一样,在多数情况下WTLS已经足以保障WAP的安全性,但是由于WAP网关担负着在WTLS和TLS之间转换信息的任务,导致信息在转换过程中存在安全漏洞。
用户的移动终端与WEB服务器执行一些无线应用的时候,需要向WEB服务器传送一些ID或是信用卡号等敏感信息。这些信息先通过WTLS的加密传送到WAP网关,WAP网关将这些信息解密后,再通过TLS的加密传送到内容服务器。从这个过程可以看出,现有WAP应用会存在以下安全性问题:
1.数据在WAP网关上在一定时间内以明文形式存在;
2.WAP网关服务供应商可能在日志中保存数据明文,潜在的第三方可能获得所有的传输数据。
因而,无法保证所有移动终端提供端到端、跨平台的安全性,不能为用户提供安全的服务。
发明内容
本发明提供一种保证移动终端访问WEB资源安全的方法、装置及系统,为用户访问WEB资源提供安全保障。
为此,本发明提供如下的技术方案:
本发明提供一种保证移动终端访问WEB资源安全的方法,包括:
邮件代理网关通过推送邮件业务通道接收数据包;
判断接收的数据包是否为移动终端浏览器发送的请求访问WEB资源的HTTP数据包;
如果是,则获得所述HTTP数据包请求的WEB资源;
通过所述推送邮件业务通道向所述移动终端浏览器返回所述WEB资源。
本发明提供一种邮件代理网关,包括:
信息拦截装置,用于通过推送邮件业务通道接收数据包,并在判断所述数据包为移动终端浏览器发送的请求访问WEB资源的HTTP数据包后,将所述数据包转发给资源获取装置,并接收资源获取装置返回的WEB资源,将所述WEB资源通过所述推送邮件业务通道发送给所述移动终端浏览器;
资源获取装置,用于获得所述HTTP数据包请求的WEB资源,并向所述 信息拦截获装置返回所述WEB资源。
本发明提供一种保证移动终端访问WEB资源安全的系统,包括:邮件代理网关和移动终端,
所述移动终端,用于通过浏览器构建用于请求访问WEB资源的HTTP数据包,并将所述HTTP数据包通过推送邮件业务通道发送给所述邮件代理网关;
所述邮件代理网关,用于通过推送邮件业务通道接收数据包,并在判断所述数据包是所述移动终端浏览器发送的请求访问WEB资源的HTTP数据包后,获得所述HTTP数据包请求的WEB资源,将所述WEB资源通过推送邮件业务通道返回给所述移动终端。
本发明提供一种保证移动终端访问WEB资源安全的方法,包括:
邮件代理网关通过推送邮件业务通道接收移动终端客户端发送的邮件,所述邮件是移动终端客户端根据接收的用户的访问请求构建的;
判断接收的邮件是否为移动终端客户端发送的请求访问WEB资源的邮件;
如果是,则获得所述邮件请求的WEB资源,并将所述WEB资源封装为邮件;
通过所述推送邮件业务通道向所述移动终端客户端返回包含所述WEB资源的邮件。
本发明提供一种邮件代理网关,包括:
邮件代理服务器端,用于通过推送邮件业务通道接收移动终端客户端发送的邮件,所述邮件是移动终端客户端根据接收的用户的访问请求构建的;
信息过滤装置,用于判断所述邮件代理服务器端接收的邮件是否为移动终端客户端发送的请求访问WEB资源的邮件,并在判断所述邮件为移动终端客户端发送的请求访问WEB资源的邮件后,将所述邮件转发给资源获取装置,并接收资源获取装置返回的包含WEB资源的邮件,将所述包含WEB资源的邮件通过推送邮件业务通道发送给所述移动终端客户端;
资源获取装置,用于获得所述邮件请求的WEB资源,并将所述WEB资源封装为邮件返回给所述信息过滤装置。
本发明提供一种保证移动终端访问WEB资源安全的系统,包括:邮件代理网关和移动终端,
所述移动终端,用于通过客户端构建用于请求访问WEB资源的邮件,并调用邮件客户端将所述邮件通过推送邮件业务通道发送给所述邮件代理网关;
所述邮件代理网关,用于通过推送邮件业务通道接收移动终端客户端发送的邮件,所述邮件是移动终端客户端根据接收的用户的访问请求构建的,并在判断所述邮件是所述移动终端客户端发送的请求访问WEB资源的邮件后,获得所述邮件请求的WEB资源,将所述WEB资源封装为邮件通过所述推送邮件业务通道返回给所述移动终端。
由以上本发明提供的技术方案可以看出,本发明保证移动终端访问WEB资源安全的方法、装置及系统,利用推送邮件业务平台空闲的接入点、带宽等资源,通过该业务平台访问WEB资源,降低了系统成本;在传输过程中对数据加密,保证了传输过程的安全性。
附图说明
图1是现有技术中推送邮件业务平台的系统架构示意图;
图2是现有技术中推送邮件业务平台推送邮件的流程图;
图3是现有技术中数据包在推送邮件业务通道中的传送流程图;
图4是本发明保证移动终端访问WEB资源安全的方法第一实施例的流程图;
图5是本发明保证移动终端访问WEB资源安全的系统第一实施例的结构示意图;
图6是本发明邮件代理网关第一实施例的结构示意图;
图7是本发明保证移动终端访问WEB资源安全的方法第二实施例的流程图;
图8是本发明保证移动终端访问WEB资源安全的系统第二实施例的结构示意图;
图9是本发明邮件代理网关第二实施例的结构示意图。
具体实施方式
本发明实施例保证移动终端访问WEB资源安全的方法基于推送邮件业务平台实现移动终端对WEB资源的访问,通过推送邮件业务平台提供的两层SSL的加密功能,保证了移动终端访问WEB资源安全性。
为了使本技术领域的人员更好地理解本发明实施例的方案,首先,对推送邮件业务平台推送邮件的过程进行简单说明。
如图1所示,是推送邮件业务平台的系统架构:
该系统是一个有两层SSL加密过程的数据传输系统,包括带有邮件客户端的移动终端、邮件推送网关、邮件代理网关等,虚线框中的部分也被称为推送邮件通道。其中,邮件代理网关从企业邮件系统获得新邮件和附件后加密、推送到移动终端,具体推送过程如图2所示:
201.邮件代理网关从企业邮件系统获取新邮件和附件缓存于本地服务器中;
202.邮件代理网关通知邮件推送网关进行邮件推送;
203.邮件推送网关发送通知短信给邮件客户端;
204.邮件客户端获取通知短信后,连接GPRS(General Packet RadioService,通用分组无线业务)网络,向邮件推送网关发送接收邮件请求,并发送用户名和密码;
205.邮件推送网关通过万维网连接邮件代理网关,将所述接收邮件请求透传给邮件代理网关;
206.邮件代理网关根据接收邮件请求获得邮件,并把邮件发送给邮件推送网关;
207.邮件推送网关将邮件传回邮件客户端;
208.邮件客户端获得邮件并显示邮件内容。
上述邮件推送网关和邮件代理网关之间的数据传输可以通过HTTP协议传输、也可以通过SSL协议传输。
在上述邮件推送过程中,邮件推送网关与邮件代理网关建立连接时,采用的是SSL安全连接方式,形成第一层加密的安全通道,经过这个安全通道的数据被自动加密传送、到达后解密。同样,邮件客户端与邮件代理网关建立连接时,也可以采用SSL安全连接方式,形成第二层加密的安全通道。邮件客户端 与邮件代理网关之间的数据,经过第二层加密的安全通道时被自动加密传送、到达后解密。这一层也称为:应用加密通道。
如图3所示,是现有技术中邮件数据包在推送邮件业务通道中的传送流程图,包括:
301.移动终端通过GPRS网络发送邮件数据包到邮件推送网关;
302.邮件推送网关接收邮件数据包后,启动SSL连接程序,启动SSL握手过程,以协商SSL加密算法和密码组、证书等;
303.邮件推送网关建立和邮件代理网关之间的SSL连接;
304.邮件推送网关将邮件数据包加密并构建SSL数据包,然后将SSL数据包通过已经建立的SSL连接发送给邮件代理网关;
305.邮件代理网关接收到SSL数据包后,对SSL数据包进行拆包、解密;
306.将解密后的数据包发送给邮件代理服务器端;
307.邮件代理服务器端处理数据包,如果需要返回数据,邮件代理服务器端获得需要返回的数据包,对数据包加密后构建SSL数据包;
308.邮件代理服务器端通过已经建立的SSL连接将SSL数据包发送给邮件推送网关;
309.邮件推送网关接收到SSL数据包后,对SSL数据包进行拆包、解密;
310.邮件推送网关将解密后的数据包通过GPRS网络发送给移动终端;
311.移动终端接收数据包并处理。
当邮件数量不多时,上述推送邮件业务平台的接入点、带宽、接入设备等资源会有一定的空闲,因此,本发明实施例的保证移动终端访问WEB资源安全的方法可以充分利用这些资源,使移动终端利用该推送邮件业务平台访问WEB资源,并保证访问的安全性。
下面结合附图和实施方式对本发明实施例作进一步的详细说明。
参照图4,是本发明保证移动终端访问WEB资源安全的方法第一实施例的流程。
该实施例适用于移动终端通过浏览器访问企业应用服务器中的WEB资源的情况,移动终端浏览器接收用户输入的访问WEB资源的超链接地址,并根据所述超链接地址构建HTTP数据包;移动终端连接GPRS网络,并建立推送 邮件业务通道;移动终端浏览器将所述HTTP数据包通过所述推送邮件业务通道发送给邮件代理网关。在这种情况下,移动终端通过浏览器提交的数据没有加密,但在经过推送邮件业务通道时被自动做第一层SSL加密、传送、解密。
图4所示流程主要包括以下步骤:
步骤401,邮件代理网关通过推送邮件业务通道接收数据包;
步骤402,判断接收的数据包是否为移动终端浏览器发送的请求访问WEB资源的HTTP数据包;如果是,则执行步骤403;否则,执行步骤405;
在HTTP协议中,客户端向服务器发送的请求可以有不同的类型,这样服务器可以根据不同的请求类型进行不同的处理。
请求消息的第一行为下面的格式:
MethodSPRequest-URISPHTTP-VersionCRLF Method
表示对于Request-URI完成的方法,其中,SP表示空格。Request-URI遵循URI格式,在此字段为星号(*)时,说明请求并不用于某个特定的资源地址,而是用于服务器本身。HTTP-Version表示支持的HTTP版本,例如为HTTP/1.1。CRLF表示换行回车符。
该字段是大小写敏感的,包括OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT,常用的有GET、HEAD和POST,其中:
GET取回由Request-URI标识的信息。它后面跟随一个网页的位置,服务器接受请求并返回其请求的页面。除了页面位置作参数之外,请求还可以跟随协议的版本等作为参数,以发送给服务器更多的信息。
HEAD也是取回由Request-URI标识的信息,只是可以在响应时,不返回消息体。
POST可以请求服务器接收包含在请求中的实体信息,可以用于提交表单,向新闻组、BBS(Bu1letin Board System,电子公告板)、邮件群组和数据库发送消息。
PUT用于将网页放置到正确位置。
DELETE用于删除相关文档等。
因此,本发明实施例中,在判断接收的数据包是否为移动终端浏览器发送的请求访问WEB资源的HTTP数据包时,可以对接收到的数据包的前七个字 节进行判断,如果是以下字符串:OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT中的任意一个开头,则确定是移动终端浏览器发送的请求访问WEB资源的HTTP数据包。
步骤403,获得所述HTTP数据包请求的WEB资源;
可以根据配置信息获得HTTP数据包请求的企业应用服务器的IP地址和端口号,然后将所述HTTP数据包发送给企业应用服务器,接收企业应用服务器返回的WEB资源;
步骤404,通过所述推送邮件业务通道向所述移动终端浏览器返回所述WEB资源;
步骤405,判断接收的数据包是否为推送邮件业务的SSL加密数据包;如果是,则执行步骤406;否则,执行步骤407;
步骤406,将所述数据包转发给邮件代理服务器端处理;
步骤407,丢弃该数据包。
可见,利用本发明实施例的方法,不仅可以保证移动终端访问多种WEB资源的安全性,而且充分利用了推送邮件业务平台的软、硬件资源传送WEB资源。
对应于该实施例的方法,本发明实施例提供的保证移动终端访问WEB资源安全的系统的结构如图5所示:
该系统包括:通过推送邮件业务通道连接的移动终端501和邮件代理网关502,其中,移动终端501带有客户端浏览器和邮件客户端,邮件代理网关502包括邮件代理服务器端、信息拦截装置和资源获取装置。移动终端501通过浏览器构建请求访问WEB资源的HTTP数据包,并将所述HTTP数据包通过推送邮件业务通道发送给邮件代理网关502;邮件代理网关502通过推送邮件业务通道接收数据包,并在判断所述数据包是所述移动终端浏览器发送的请求访问WEB资源的HTTP数据包后,从企业应用服务器503获得所述HTTP数据包请求的WEB资源,将所述WEB资源通过推送邮件业务通道返回给移动终端501。
在应用本发明实施例提供的系统时,为了使客户端浏览器使用推送邮件业务平台访问企业应用服务器,需要设置浏览器的默认连接。将该连接设置为使 用代理服务器的方式(一般浏览器都支持代理服务器的功能),并将代理服务器的地址设置为邮件推送网关的地址,端口号为SMTP(Simple Mail TransferProtocol,简单邮件传输协议)的端口号。
这样,移动终端501用户在浏览器中输入要访问的WEB资源的URL,浏览器接收到访问请求后,将URL连同其他数据(比如Host数据、cookie数据等)组织成HTTP数据包。HTTP数据包的类型、组织方法、数据格式等信息可参照HTTP协议,在此不再详细描述。然后,移动终端501连接GPRS网络,建立推送邮件业务通道。
移动终端501浏览器将HTTP数据包通过建立的推送邮件业务通道发送到邮件代理网关502。
在邮件代理网关502上,数据包首先被信息拦截装置截获,信息拦截装置对该数据包进行判断,判断是否是移动终端浏览器发送过来的HTTP数据包。如果是移动终端浏览器发送过来的HTTP数据包,则将该数据包转发给资源获取装置进行处理。如果是推送邮件业务的SSL加密数据包,则透传给邮件代理服务器端,并将邮件代理服务器端返回的数据包通过推送邮件业务通道原路返回给移动终端501。
资源获取装置收到信息拦截装置传送过来的数据包后,首先根据配置信息获得企业应用服务器的IP信息、端口号,然后将数据包发送给企业应用服务器503,并将企业应用服务器503返回的数据包返回给信息拦截装置。
信息拦截装置将返回的数据包通过推送邮件业务通道原路返回给移动终端浏览器。移动终端浏览器根据返回的数据包作相应的处理并显示。
在上述过程中,信息拦截装置对数据包的判断方法如前面本发明方法实施例中的描述,如果数据包的前七个字节进行判断,如果是以下字符串:OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT中的任意一个开头,则确定是移动终端浏览器发送的请求访问WEB资源的HTTP数据包。推送邮件业务的SSL加密数据包的识别与现有技术中相同,在此不再详细描述。
图6示出了本发明实施例提供的一种邮件代理网关的结构示意图:
该邮件代理网关包括:信息拦截装置601和资源获取装置602,还可进一步包括邮件代理服务器端603。其中,邮件代理服务器端603用于提供邮件代理服务器的功能;信息拦截装置601用于通过推送邮件业务通道接收数据包,并在判断所述数据包为移动终端浏览器发送的请求访问WEB资源的HTTP数据包后,将所述数据包转发给资源获取装置,并接收资源获取装置返回的WEB资源,将所述WEB资源通过所述推送邮件业务通道发送给所述移动终端浏览器;还用于在判断所述数据包为推送邮件业务的SSL加密数据包后,将所述数据包转发给邮件代理服务器端处理。资源获取装置602用于获得所述HTTP数据包请求的WEB资源,并向所述信息拦截获装置返回所述WEB资源。
在该实施例中,资源获取装置602包括:查询单元61、转发单元62和信息发送单元63。其中,查询单元61用于根据配置信息获得HTTP数据包请求的企业应用服务器的IP地址和端口号,所述企业应用服务器可以位于局域网或万维网中;转发单元62用于将所述HTTP数据包发送给企业应用服务器,并接收企业应用服务器返回的WEB资源;信息发送单元63用于将所述应用服务器返回的WEB资源发送给所述信息拦截装置。
利用本发明实施例的邮件代理网关,可以通过信息拦截的方式对通过推送邮件业务通道接收的数据包进行判断,从而区别是移动终端浏览器发送过来的HTTP数据包,还是推送邮件业务的SSL加密数据包,如果是移动终端浏览器发送过来的HTTP数据包,则获取相应的WEB资源并通过推送邮件业务通道将所述WEB资源发送给移动终端,从而保证WEB资源传输的安全性;如果是推送邮件业务的SSL加密数据包,则按照现有技术的方式透传给邮件代理服务器端,并将邮件代理服务器端返回的数据包通过推送邮件业务通道原路返回给移动终端。因此,不仅保证了移动终端访问多种WEB资源的安全性,而且充分利用了推送邮件业务平台的软、硬件资源传送WEB资源,而且不会影响推送邮件业务的正常传输。
参照图7,是本发明保证移动终端访问WEB资源安全的方法第二实施例的流程。
该实施例适用于移动终端安装有客户端的应用,这种应用中,通过客户端访问企业应用服务器,获得相关数据、资源(如XML文件、图像文件、数据 文件等),然后客户端对获得的数据和资源进行处理并展现出来。企业应用服务器可以位于局域网或万维网中。
在这种应用中,移动终端客户端接收用户的访问请求;根据所述访问请求构建邮件,所述邮件正文包含所述访问请求,将邮件头中的收件人设定为特定收件人,比如oaao@oaao.oa.cn,并且在邮件头中添加第一标签,比如X-PushEmail-Xoa,并将其值定义为OA-gongwen,所述第一标签用于标识所述邮件为请求访问WEB资源的邮件;然后调用邮件客户端并通过推送邮件业务通道将所述邮件发送给邮件代理网关。
在这种情况下,客户端调用邮件客户端发送提交给企业应用服务器的数据包,返回的数据包也经过邮件客户端获得。客户端提交给企业应用服务器的数据包经过两层加密、解密,即经过邮件客户端接口时被作了第二层SSL加密,经过推送邮件业务通道时被自动作了第一层SSL加密。
图7所示流程主要包括以下步骤:
步骤701,邮件代理网关通过推送邮件业务通道接收邮件;
步骤702,判断接收的邮件是否为移动终端客户端发送的请求访问WEB资源的邮件;如果是,则执行步骤703;否则,执行步骤706;
在判断接收的邮件是否为移动终端客户端发送的请求访问WEB资源的邮件时,可以取出接收到的邮件的邮件头;如果邮件头中的收件人为所述特定收件人,并且邮件头中带有所述第一标签,则确定是移动终端客户端发送的请求访问WEB资源的邮件。
步骤703,获得所述邮件请求的WEB资源;
可以通过解析所述邮件的正文,获取访问请求;然后根据配置信息获得所述访问请求对应的企业应用服务器的IP地址和端口号;将所述访问请求发送给企业应用服务器,并接收企业应用服务器返回的WEB资源;
步骤704,将所述WEB资源封装为邮件;
在封装时,将所述WEB资源作为邮件的正文,将邮件头中的收件人设定为所述特定收件人,并在邮件头中添加所述第一标签;
步骤705,通过推送邮件业务通道向所述移动终端客户端返回包含所述WEB资源的邮件;
步骤706,将所述邮件发送给邮件代理服务器端处理。
可见,利用本发明实施例的方法,不仅可以保证移动终端访问多种WEB资源的安全性,而且充分利用了推送邮件业务平台的软、硬件资源传送WEB资源。
对应于该实施例的方法,本发明实施例提供的保证移动终端访问WEB资源安全的系统的结构如图8所示:
该系统包括:通过推送邮件业务通道连接的移动终端801和邮件代理网关802,其中,移动终端801带有客户端和邮件客户端,邮件代理网关802包括邮件代理服务器端、信息过滤装置和资源获取装置。移动终端801通过客户端构建用于请求访问WEB资源的邮件,并调用邮件客户端将所述邮件通过推送邮件业务通道发送给所述邮件代理网关;邮件代理网关802通过推送邮件业务通道接收邮件,并在判断所述邮件是所述移动终端客户端发送的请求访问WEB资源的邮件后,从企业应用服务器803获得所述邮件请求的WEB资源,将所述WEB资源封装为邮件通过推送邮件业务通道返回给移动终端801。
在应用本发明实施例提供的系统时,移动终端801客户端收到用户的访问请求(包括URL)后,将该访问请求和其他访问企业应用服务器所需要的数据,作为邮件正文,组织成一封邮件,并将其中的收件人设定为特定收件人,比如oaao@oaao.oa.cn,在邮件头中添加自定义的头标签,比如X-PushEmail-Xoa,其值设置为OA-gongwen。然后,调用邮件客户端提供的发送接口发送该邮件。邮件客户端通过推送邮件业务平台将邮件发送到邮件代理网关802的邮件代理服务器端。
邮件代理服务器端收到发送邮件请求后,调用发送过滤接口上的信息过滤装置。由信息过滤装置判断是否是移动终端客户端发送的请求邮件。具体判断方法如下:信息过滤装置取出邮件头信息,判断收件人是否是特定收件人,如oaao@oaao.oa.cn,另外判断自定义的头标签X-PushEmail-Xoa的值是否为OA-gongwen。如果这两个条件都符合,则为移动终端客户端发送的访问企业应用服务器的邮件。根据判断结果,如果是,则将该邮件转发给资源获取装置。如果不是,则返回给邮件代理服务器端继续处理。
资源获取装置收到邮件后,解析出邮件正文,得到访问请求,并根据配置 信息,获得企业应用服务器的IP地址、端口号等信息,然后将访问请求发送给该企业应用服务器803。
企业应用服务器803根据请求,返回相应的数据给资源获取装置。
资源获取装置收到发返回的数据后,生成一封或邮件。比如,如果数据小于50K则将数据组织为邮件正文;如果数据大于50K则将数据组织为附件,正文为空。并将收件人设定为所述特定收件人,比如oaao@oaao.oa.cn。然后,将邮件放进缓存,同时为邮件生成一个特定唯一标识符,以标识本次访问(如果有多个邮件,则一个“特定唯一标识符”对应多个邮件)。并将所述特定唯一标识符返回给信息过滤装置。
信息过滤装置可以将所述特定唯一标识符设置为一个字符串,在资源获取装置运行周期内是不重复的。
信息过滤装置将所述特定唯一标识符通过邮件代理服务器端,原路返回给移动终端801客户端。
移动终端801客户端收到所述特定唯一标识符后,表明请求已经成功。调用邮件客户端提供的接收接口,根据所述特定唯一标识符和所述特定收件人接收邮件。
邮件代理服务器端收到接收邮件请求后,调用接过滤接口上的信息过滤装置。信息过滤装置判断是否是终端客户端请求接收邮件。具体判断方法如下:信息过滤装置获取邮件收件人,判断收件人是否是所述特定收件人,如果是,则为移动终端801客户端接收企业应用服务器返回的信息。根据判断结果,如果不是,则返回给邮件代理服务器端继续处理。如果是,则将接收请求发送给资源获取装置。
资源获取装置根据所述特定唯一标识符从缓存中取得邮件,并将邮件通过邮件代理服务器端原路返回给移动终端801客户端。
客户端收到邮件后,对该邮件进行拆包、解码处理后显示。
图9示出了本发明实施例提供的另一种邮件代理网关的结构示意图:
该邮件代理网关包括:邮件代理服务器端901、信息过滤装置902和资源获取装置903。其中,邮件代理服务器端901用于通过推送邮件业务通道接收邮件,并提供邮件代理服务器的功能;信息过滤装置902用于判断邮件代理服 务器端901接收的邮件是否为移动终端客户端发送的请求访问WEB资源的邮件,并在判断所述邮件为移动终端客户端发送的请求访问WEB资源的邮件后,将所述邮件转发给资源获取装置903,并接收资源获取装置903返回的包含WEB资源的邮件,将所述包含WEB资源的邮件通过推送邮件业务通道发送给所述移动终端客户端;资源获取装置903用于获得所述邮件请求的WEB资源,并将所述WEB资源封装为邮件返回给所述信息过滤装置902。
在该实施例中,信息过滤装置902包括:邮件头获取单元921、第一判断单元922、第二判断单元923和转发单元924。其中,邮件头获取单元921用于获取所述邮件代理服务器端接收的邮件的邮件头;第一判断单元922用于判断所述邮件头中的收件人是否为特定收件人;第二判断单元923用于判断所述邮件头中是否带有第一标签,所述第一标签用于标识所述邮件为请求访问WEB资源的邮件;转发单元923用于在第一判断单元922判断所述邮件头中的收件人为特定收件人,并且第二判断单元923判断所述邮件头中带有第一标签后,将所述邮件转发给资源获取装置903。
资源获取装置903包括:解析单元931、查询单元932、转发单元933、封装单元934和信息发送单元935。其中,解析单元931用于解析所述邮件正文,获取访问请求;查询单元932用于根据配置信息获得所述访问请求对应的企业应用服务器的IP地址和端口号;转发单元933用于将所述访问请求发送给企业应用服务器,并接收企业应用服务器返回的WEB资源;封装单元934用于将所述WEB资源封装为邮件;信息发送单元935用于将封装单元934封装后的邮件发送给信息过滤装置921。
利用本发明实施例的邮件代理网关,可以通过信息过滤的方式对通过推送邮件业务通道接收的邮件进行判断,从而区别是否为移动终端客户端发送过来的请求WEB资源的邮件,如果是,则获取相应的WEB资源并将所述WEB资源封装为邮件,通过推送邮件业务通道发送给移动终端,从而保证WEB资源传输的安全性;如果不是,则按照现有技术的方式由邮件代理服务器端处理。因此,不仅保证了移动终端访问多种WEB资源的安全性,而且充分利用了推送邮件业务平台的软、硬件资源传送WEB资源,而且不会影响推送邮件业务的正常传输。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,如:ROM/RAM、磁碟、光盘等。
以上对本发明实施例进行了详细介绍,本文中应用了具体实施方式对本发明进行了阐述,以上实施例的说明只是用于帮助理解本发明的系统及方法;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (21)
1.一种保证移动终端访问WEB资源安全的方法,其特征在于,包括:
邮件代理网关通过推送邮件业务通道接收数据包;
判断接收的数据包是否为移动终端浏览器发送的请求访问WEB资源的HTTP数据包;
如果是,则获得所述HTTP数据包请求的WEB资源;
通过所述推送邮件业务通道向所述移动终端浏览器返回所述WEB资源。
2.根据权利要求1所述的方法,其特征在于,所述判断接收的数据包是否为移动终端浏览器发送的请求访问WEB资源的HTTP数据包包括:
对接收到的数据包的前七个字节进行判断,如果是以下字符串:OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT中的任意一个开头,则确定是移动终端浏览器发送的请求访问WEB资源的HTTP数据包。
3.根据权利要求1所述的方法,其特征在于,所述获得所述HTTP数据包请求的WEB资源包括:
根据配置信息获得HTTP数据包请求的企业应用服务器的IP地址和端口号;
将所述HTTP数据包发送给企业应用服务器;
接收企业应用服务器返回的WEB资源。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
如果所述数据包是推送邮件业务的安全套接层协议SSL加密数据包,则将所述数据包转发给邮件代理服务器端处理。
5.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
移动终端浏览器接收用户输入的访问WEB资源的超链接地址,并根据所述超链接地址构建HTTP数据包;
移动终端连接GPRS网络,并建立推送邮件业务通道;
移动终端浏览器将所述HTTP数据包通过所述推送邮件业务通道发送给邮件代理网关。
6.一种邮件代理网关,其特征在于,包括:
信息拦截装置,用于通过推送邮件业务通道接收数据包,并在判断所述数据包为移动终端浏览器发送的请求访问WEB资源的HTTP数据包后,将所述数据包转发给资源获取装置,并接收资源获取装置返回的WEB资源,将所述WEB资源通过所述推送邮件业务通道发送给所述移动终端浏览器;
资源获取装置,用于获得所述HTTP数据包请求的WEB资源,并向所述信息拦截装置返回所述WEB资源。
7.根据权利要求6所述的邮件代理网关,其特征在于,所述资源获取装置包括:
查询单元,用于根据配置信息获得HTTP数据包请求的企业应用服务器的IP地址和端口号;
转发单元,用于将所述HTTP数据包发送给企业应用服务器,并接收企业应用服务器返回的WEB资源;
信息发送单元,用于将所述应用服务器返回的WEB资源发送给所述信息拦截装置。
8.根据权利要求6或7所述的邮件代理网关,其特征在于,所述邮件代理网关还包括:
邮件代理服务器端,用于提供邮件代理功能;
所述信息拦截装置还用于在判断所述数据包为推送邮件业务的SSL加密数据包后,将所述数据包转发给邮件代理服务器端处理。
9.一种保证移动终端访问WEB资源安全的系统,其特征在于,包括:邮件代理网关和移动终端,
所述移动终端,用于通过浏览器构建用于请求访问WEB资源的HTTP数据包,并将所述HTTP数据包通过推送邮件业务通道发送给所述邮件代理网关;
所述邮件代理网关,用于通过推送邮件业务通道接收数据包,并在判断所述数据包是所述移动终端浏览器发送的请求访问WEB资源的HTTP数据包后,获得所述HTTP数据包请求的WEB资源,将所述WEB资源通过推送邮件业务通道返回给所述移动终端。
10.根据权利要求9所述的系统,其特征在于,所述邮件代理网关为如权利要求6至8中任一项所述的邮件代理网关。
11.一种保证移动终端访问WEB资源安全的方法,其特征在于,包括:
邮件代理网关通过推送邮件业务通道接收移动终端客户端发送的邮件,所述邮件是移动终端客户端根据接收的用户的访问请求构建的;
判断接收的邮件是否为移动终端客户端发送的请求访问WEB资源的邮件;
如果是,则获得所述邮件请求的WEB资源,并将所述WEB资源封装为邮件;
通过所述推送邮件业务通道向所述移动终端客户端返回包含所述WEB资源的邮件。
12.根据权利要求11所述的方法,其特征在于,所述方法还包括:
移动终端客户端接收用户的访问请求;
根据所述访问请求构建邮件,所述邮件正文包含所述访问请求,将邮件头中的收件人设定为特定收件人,并且在邮件头中添加第一标签,所述特定收件人和所述第一标签一起用于标识所述邮件为请求访问WEB资源的邮件;
调用邮件客户端并通过推送邮件业务通道将所述邮件发送给邮件代理网关。
13.根据权利要求12所述的方法,其特征在于,所述判断接收的邮件是否为移动终端客户端发送的请求访问WEB资源的邮件包括:
取出所述邮件的邮件头;
如果邮件头中的收件人为所述特定收件人,并且邮件头中带有所述第一标签,则确定是移动终端客户端发送的请求访问WEB资源的邮件。
14.根据权利要求12所述的方法,其特征在于,所述获得所述邮件请求的WEB资源包括:
解析所述邮件正文,获取访问请求;
根据配置信息获得所述访问请求对应的企业应用服务器的IP地址和端口号;
将所述访问请求发送给企业应用服务器;
接收企业应用服务器返回的WEB资源。
15.根据权利要求14所述的方法,其特征在于,所述将所述WEB资源封装为邮件包括:
将所述WEB资源作为邮件的正文,将邮件头中的收件人设定为所述特定收件人,并在邮件头中添加所述第一标签。
16.根据权利要求11至15任一项所述的方法,其特征在于,所述方法还包括:
如果所述邮件不是移动终端客户端发送的请求访问WEB资源的邮件,则将所述邮件发送给邮件代理服务器端处理。
17.一种邮件代理网关,其特征在于,包括:
邮件代理服务器端,用于通过推送邮件业务通道接收移动终端客户端发送的邮件,所述邮件是移动终端客户端根据接收的用户的访问请求构建的;
信息过滤装置,用于判断所述邮件代理服务器端接收的邮件是否为移动终端客户端发送的请求访问WEB资源的邮件,并在判断所述邮件为移动终端客户端发送的请求访问WEB资源的邮件后,将所述邮件转发给资源获取装置,并接收资源获取装置返回的包含WEB资源的邮件,将所述包含WEB资源的邮件通过推送邮件业务通道发送给所述移动终端客户端;
资源获取装置,用于获得所述邮件请求的WEB资源,并将所述WEB资源封装为邮件返回给所述信息过滤装置。
18.根据权利要求17所述的邮件代理网关,其特征在于,所述信息过滤装置包括:
邮件头获取单元,用于获取所述邮件代理服务器端接收的邮件的邮件头;
第一判断单元,用于判断所述邮件头中的收件人是否为特定收件人;
第二判断单元,用于判断所述邮件头中是否带有第一标签,所述第一标签用于标识所述邮件为请求访问WEB资源的邮件;
转发单元,用于在第一判断单元判断所述邮件头中的收件人为特定收件人,并且第二判断单元判断所述邮件头中带有第一标签后,将所述邮件转发给所述资源获取装置。
19.根据权利要求18所述的邮件代理网关,其特征在于,所述资源获取 装置包括:
解析单元,用于解析所述邮件正文,获取访问请求;
查询单元,用于根据配置信息获得所述访问请求对应的企业应用服务器的IP地址和端口号;
转发单元,用于将所述访问请求发送给企业应用服务器,并接收企业应用服务器返回的WEB资源;
封装单元,用于将所述WEB资源封装为邮件;
信息发送单元,用于将所述封装单元封装后的邮件发送给所述信息过滤装置。
20.一种保证移动终端访问WEB资源安全的系统,其特征在于,包括:
邮件代理网关和移动终端,
所述移动终端,用于通过客户端构建用于请求访问WEB资源的邮件,并调用邮件客户端将所述邮件通过推送邮件业务通道发送给所述邮件代理网关;
所述邮件代理网关,用于通过推送邮件业务通道接收移动终端客户端发送的邮件,所述邮件是移动终端客户端根据接收的用户的访问请求构建的,并在判断所述邮件是所述移动终端客户端发送的请求访问WEB资源的邮件后,获得所述邮件请求的WEB资源,将所述WEB资源封装为邮件通过所述推送邮件业务通道返回给所述移动终端。
21.根据权利要求20所述的系统,其特征在于,所述邮件代理网关为如权利要求17至19中任一项所述的邮件代理网关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101179329A CN101345752B (zh) | 2008-08-15 | 2008-08-15 | 保证移动终端访问web资源安全的方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101179329A CN101345752B (zh) | 2008-08-15 | 2008-08-15 | 保证移动终端访问web资源安全的方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101345752A CN101345752A (zh) | 2009-01-14 |
| CN101345752B true CN101345752B (zh) | 2011-06-15 |
Family
ID=40247638
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101179329A Expired - Fee Related CN101345752B (zh) | 2008-08-15 | 2008-08-15 | 保证移动终端访问web资源安全的方法、装置及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101345752B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102447645A (zh) * | 2010-10-12 | 2012-05-09 | 北京创新方舟科技有限公司 | 一种对电子邮件进行处理的方法、设备及系统 |
| CN102480475B (zh) * | 2010-11-30 | 2014-10-01 | 金蝶软件(中国)有限公司 | Web服务安全访问控制方法、装置及系统 |
| CN103516785A (zh) * | 2013-08-19 | 2014-01-15 | 上海艾泰网络信息有限公司 | 网页代理系统及其通信方法 |
| CN103532833B (zh) * | 2013-11-05 | 2017-01-11 | 中国联合网络通信集团有限公司 | 一种业务系统访问方法、终端及代理服务系统 |
| CN104660486B (zh) * | 2013-11-22 | 2018-02-06 | 华为技术有限公司 | 邮件推送方法、移动终端及网关 |
| CN104734944A (zh) * | 2015-03-18 | 2015-06-24 | 重庆森格玛科技有限公司 | 电子邮件的传输方法及装置 |
| TWI584613B (zh) * | 2015-12-30 | 2017-05-21 | Chunghwa Telecom Co Ltd | Remote data management method for cross - transmission media |
| CN105656727A (zh) * | 2016-02-24 | 2016-06-08 | 北京奇虎科技有限公司 | 一种在移动终端上实现应用测试的方法和装置 |
| CN111147361B (zh) * | 2019-12-30 | 2022-06-07 | 论客科技(广州)有限公司 | 一种添加邮箱账号的方法、装置及存储介质 |
| CN111949862B (zh) * | 2020-07-20 | 2023-10-13 | 上海淇馥信息技术有限公司 | 一种管理业务任务流程的方法、装置和电子设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6230189B1 (en) * | 1997-12-09 | 2001-05-08 | Ricoh Company, Ltd. | Apparatus and method for an HTTP server capable of connecting facsimile apparatuses and data terminals |
| GB2363224A (en) * | 1999-10-28 | 2001-12-12 | Ibm | Delayed delivery of web pages from an overloaded or partially functional web server |
| CN1327332A (zh) * | 2000-04-05 | 2001-12-19 | 国际商业机器公司 | 在网络系统中传送数据的方法、数据处理系统及程序产品 |
-
2008
- 2008-08-15 CN CN2008101179329A patent/CN101345752B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6230189B1 (en) * | 1997-12-09 | 2001-05-08 | Ricoh Company, Ltd. | Apparatus and method for an HTTP server capable of connecting facsimile apparatuses and data terminals |
| GB2363224A (en) * | 1999-10-28 | 2001-12-12 | Ibm | Delayed delivery of web pages from an overloaded or partially functional web server |
| CN1327332A (zh) * | 2000-04-05 | 2001-12-19 | 国际商业机器公司 | 在网络系统中传送数据的方法、数据处理系统及程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101345752A (zh) | 2009-01-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101345752B (zh) | 保证移动终端访问web资源安全的方法、装置及系统 | |
| US8705565B2 (en) | Secure transmission system and method | |
| US9264435B2 (en) | Apparatus and methods for access solutions to wireless and wired networks | |
| FI104873B (fi) | Datapalvelu matkaviestinverkossa | |
| CN101043522B (zh) | 一种基于Web服务器的通信方法及系统 | |
| CN101267299B (zh) | 一种安全显示网页中数据的方法和系统 | |
| US20020178353A1 (en) | Secure messaging using self-decrypting documents | |
| CN107251528B (zh) | 用于提供源自服务提供商网络内的数据的方法和装置 | |
| US20030065941A1 (en) | Message handling with format translation and key management | |
| US9015282B2 (en) | Access to information on a mobile terminal from a remote terminal | |
| CN103227786B (zh) | 一种网站登录信息填入方法及装置 | |
| CN103001926A (zh) | 一种订阅通知的方法、装置和系统 | |
| CN103384993B (zh) | 用户设备访问网页的重定向方法、网关以及服务器 | |
| CN102377617A (zh) | 监视移动互联网活动的系统、方法和设备 | |
| JP2004103022A (ja) | 複数の装置間でのクッキー管理を行なうための、個人クッキー格納サービスを実行する方法および装置 | |
| US20090030917A1 (en) | Multimedia messaging service-based database synchronization | |
| CN101552743A (zh) | 电子邮件网关装置 | |
| US20030135566A1 (en) | File transmission apparatus, web server, file transmission system, file transmission program storage medium, and web server program storage medium | |
| CN109561010A (zh) | 一种报文处理方法、电子设备及可读存储介质 | |
| TW201121275A (en) | Cookie processing device, cookie processing method, cookie processing program, cookie processing system and information communication system | |
| US9525653B2 (en) | Enhanced wireless short message service | |
| CN103634741B (zh) | 点对点wap推送方法和系统 | |
| TW200805972A (en) | Context based navigation | |
| JP2002269041A (ja) | 情報配信サーバー装置 | |
| KR100587158B1 (ko) | 무선 인터넷에서 자동 인증 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110615 Termination date: 20140815 |
|
| EXPY | Termination of patent right or utility model |