CN101989974A - 一种ssl vpn的内网web访问的安全控制方法 - Google Patents
一种ssl vpn的内网web访问的安全控制方法 Download PDFInfo
- Publication number
- CN101989974A CN101989974A CN2009100234997A CN200910023499A CN101989974A CN 101989974 A CN101989974 A CN 101989974A CN 2009100234997 A CN2009100234997 A CN 2009100234997A CN 200910023499 A CN200910023499 A CN 200910023499A CN 101989974 A CN101989974 A CN 101989974A
- Authority
- CN
- China
- Prior art keywords
- user
- ssl vpn
- resource
- access
- carries out
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,具体涉及一种SSL VPN的内网WEB服务器访问的安全控制方法。目前的SSL VPN对他的用户访问权限控制中,没有一种合适的方法既能够区别使用同一个远程地址登录访问的多个不同用户,又能够检查出多个不同用户访问资源的合法性。本发明提供的一种SSL VPN的内网WEB服务器访问的安全控制方法,是根据远程主机的请求,SSL VPN网关远程主机访问权限检查单元对远程主机访问的资源以及该用户进行合法性检查,以最终向远端主机提供正确的网页信息。该方法不仅保证了配置的准确,其网络安全性显著提高,同时保证用户对资源访问权限的准确性和安全性。
Description
技术领域:
本发明涉及网络安全技术领域,具体涉及一种SSL VPN的内网WEB服务器访问的安全控制方法。
背景技术:
SSL VPN是指一种采用SSL(Security Socket Layer,安全套接层)协议来实现远程接入的一种新型VPN(Virtual Private Network,虚拟专用网络)技术。SSL协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说,使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用,也可以应用于Outlook等使用TCP协议传输数据的C/S应用,而安装部署SSL VPN的优点主要在于:1、直接使用浏览器完成操作,无需安装独立的客户端,使用灵活方便;2、部署简单,无客户端,维护成本低,网络适应强;3、对用户访问控制权限控制严格,安全性高,同时对用户使用透明;因此,SSL VPN自身对于资源访问的控制尤其是对内网WEB服务的访问将决定SSL VPN产品是否成熟的一个重要标志。
目前,SSL VPN的主要功能之一是远程实现对内网WEB应用的访问控制,具体实现为:1、远程主机通过HTTPS访问与SSL VPN网关建立SSL连接,以加密方式在Internet上传送报文;2、SSL VPN网关终结了SSL连接,与内网的WEB服务器建立HTTP连接,以明文方式传送远程主机发送来的请求,并将服务器的应答通过SSL连接发给远程主机;而远程主机使用SSL VPN访问内网WEB资源,一般有两种访问方式,一种是一对一访问,即一个远程主机地址对应一个用户登录访问;一种是一对多访问方式,即一个远程主机地址对应多个用户登录访问,或者可以说是有多个用户使用了同一个nat规则、多个私有地址公用一个公网IP地址。
对于第一种访问方式的情况,SSL VPN对他的用户访问权限控制比较简单,只要检查他的IP地址就可知道其访问权限;而对于第二种情况,目前存在的问题是:没有一种合适的方法既能够区别使用同一个远程地址登录访问的多个不同用户,又能够检查出多个不同用户访问资源的合法性。
发明内容
本发明要提供一种SSL VPN的内网WEB服务器访问的安全控制方法,以克服现有技术存在的不能区别使用同一个远程地址登录访问的多个不同用户,也不能检查出多个不同用户访问资源的合法性的问题。
为实现上述目的,本发明采用的技术方案为:一种SSL VPN的内网WEB访问的安全控制方法,包括以下步骤:
(1)SSL VPN网关接收到远程主机访问内网WEB资源的请求;
(2)SSL VPN网关进行用户资源关联单元配置,包括:
资源配置单元配置资源列表;
用户配置单元配置用户列表;
用户资源关联单元配置访问控制规则,即资源与用户关联表;
(3)SSL VPN网关根据远程主机IP地址到在线用户列表进行检查,检查成功,进行步骤(4),检查不成功,进行步骤(7);
(4)SSL VPN网关根据远程主机用户名和用户randomID到用户与随机号对应列表进行检查,检查成功,进行步骤(5),检查不成功,进行步骤(7);
(5)SSL VPN网关根据远程主机用户名和资源ID号到资源与用户关联表进行检查,检查成功,进行步骤(6),检查不成功,进行步骤(7);
(6)SSL VPN网关授权该远程主机访问权允许访问;
(7)SSL VPN网关返回未授权网页提示用户以正确用户登录访问。
本发明提供的方法,基于SSL VPN进行用户访问WEB资源的访问控制权限管理,用于在远程主机访问内网WEB服务器时,授权的用户能够访问到的授权的WEB资源,而未授权的用户不能访问该WEB资源,以保证对远程主机访问的资源以及访问用户进行合法性检查,以最终向远端主机提供正确的网页信息,该方法不仅保证了配置的准确,其网络安全性显著提高,同时保证用户对资源访问权限的准确性和安全性。
附图说明:
图1为SSL VPN网关进行用户资源关联单元配置流程图;
图2为SSL VPN网关对远程主机访问权限检查单元的流程图;
具体实施方式:
下面将结合附图对本发明做详细地说明。
本发明所说的一种SSL VPN的内网WEB服务器访问的安全控制方法,是根据远程主机的请求,SSL VPN网关远程主机访问权限检查单元对远程主机访问的资源以及该用户进行合法性检查,以最终向远端主机提供正确的网页信息,包括以下步骤:
(1)SSL VPN网关接收到远程主机访问内网WEB资源的请求;
(2)SSL VPN网关进行用户资源关联单元配置;
该用户资源关联单元配置包括:
资源配置单元配置资源列表;
用户配置单元配置用户列表;
用户资源关联单元配置访问控制规则,即资源与用户关联表。
(3)SSL VPN网关根据远程主机IP地址到在线用户列表进行检查,检查成功,进行步骤(4),检查不成功,进行步骤(7);
(4)SSL VPN网关根据远程主机用户名和用户randomID到用户与随机号对应列表进行检查,检查成功,进行步骤(5),检查不成功,进行步骤(7);
(5)SSL VPN网关根据远程主机用户名和资源ID号到资源与用户关联表进行检查,检查成功,进行步骤(6),检查不成功,进行步骤(7);
(6)SSL VPN网关授权该远程主机访问权允许访问;
(7)SSL VPN网关返回未授权网页提示用户以正确用户登录访问。
下面将通过具体地例子来进行说明,其步骤是:
(1)SSL VPN网关接收到远程主机访问内网WEB资源的请求;
具体情况为包括:远端主机在直接点击网页中的超链接向SSL VPN网关发起WEB资源请求或用户出于某种正常的或不正常的方式向SSL VPN网关发起的WEB资源请求,其中不正常的方式较多,如远端用户模仿或借盗别人的超链接请求,比如使用同一个公网IP地址的内部两不同授权用户身份登录的情况,某一用户对另一个用户授权WEB资源发起WEB资源请求,这种请求是通过访问未对该用户授权资源而对另一用户授权的资源的方式实现的,具体的通过手工在浏览器网页输入框输入相应假冒的资源请求链接的方式实现的。
例如实施例远端用户221.23.42.121向SSL VPN发起以下请求:
GET/SSL VPN/13/bugzilla/quips.cgi HTTP/1.1
Accept:image/gif,application/vnd.ms-powerpoint,application/msword,*/*
Referer:
http://www.abc.com/bugzilla/buglist.cgi?short_desc_type=allwordssubstr
Accept-Language:zh-cn
Accept-Encoding:gzip,deflate
User-Agent:Mozilla/4.0(compatible;MSIE 6.0;Windows NT 5.1;SV1;Mozilla/4.0(compatible;MSIE 6.0;Windows NT 5.1;SV1);CIBA;.NETCLR 2.0.50727)
Host:www.abc.com
Connection:Keep-Alive
Cookie:randomid=49323432423;
(2)SSL VPN网关进行用户资源关联单元配置,参见图1,包括:
资源配置单元配置资源列表;
用户配置单元配置用户列表;
用户资源关联单元配置访问控制规则,即资源与用户关联表;
(3)SSL VPN网关远程主机访问权限检查单元对远端用户访问WEB资源的访问控制权限进行管理,参见图2,包括:
①SSL VPN网关根据远程主机IP地址到在线用户列表进行检查,本次检查成功,继续进行下一步检查;本次检查不成功,进行步骤(5);
例如本实施例中获取发起该请求的IP地址221.23.42.121,用户随机号49323432423,以及用户访问的资源/SSL VPN/13/bugzilla/quips.cgi,可见资源号是13,访问的是13对应的内网资源的bugzilla/quips.cgi网页;
检查由SSL VPN网关用户上线检查子单元完成,主要是判断该用户是否上线,假定现在的在线用户列表有如下实例:
……………………………
221.23.42.121 online
111.53.42.2 offline
………………………………
通过检查,发现该用户确实在线,则本次检查成功。
②SSL VPN网关根据远程主机用户名和用户randomID到用户与随机号对应列表进行检查,检查成功,继续进行下一步检查;检查不成功,进行步骤(5);
检查由SSL VPN网关用户随机号检查单元完成,主要是根据远程主机IP和用户randomID号进行检查:
a、首先查找用户名与IP地址对应列表
假定现在实施例中用户名与IP地址对应列表显示如下:
………………………………
221.23.42.121 zhaomz
111.53.42.2 ming
221.23.42.121 guozong
……………………………
通过检查,发现利用221.23.42.121地址请求的远端主机用户多于一个时,继续对用户的randomID进行检查;
b、如果前面检查相应的用户合法,则检查该用户的randomID的合法性
如下实施例中显示SSL VPN网关用户随机号分配单元分配的显示列表:
…………………………………
Zhaomz 49323432423
Guozong 32353472389
Ming 62325431422
…………………………………
通过检查,发现用户zhaomz具有正确的randomID号,本次检查认为成功。
③SSL VPN网关根据远程主机用户名和资源ID号到资源与用户关联表进行检查,检查成功,进行步骤(4);检查不成功,进行步骤(5):
假定现在实施例中的资源与用户关联表部分显示如下:
………………………………………………
Zhaomz 13
Zhaomz 345
Guo 43
Qing 333
………………………………………………
通过查询匹配,发现用户zhaomz有权限访问13号资源,具体13号资源表示的具体内容,可通过资源列表进行具体查找,查找到匹配资源,允许访问,进行步骤(4),查找不到匹配资源,则进行步骤(5);
(4)SSL VPN网关授权该远程主机访问权允许访问;
根据检查结果回应相应的信息,若三次依次检查成功,则返回内网相应网站相应网页信息,即允许用户访问;
(5)SSL VPN网关返回未授权网页提示用户以正确用户登录访问,
根据检查结果回应相应的信息,若三次检查一次不成功,则立刻返回未授权网页,即不允许访问;
例如本实施例中下述网页:
<html>
<body>
<p>You don’t have permission to access/SSL VPN/13
on this server.</p>
<p>Please try again later use other identity.</p>
</body>
</html>。
通过使用本发明的控制方法,在远程主机访问内网WEB服务器时进行合理的访问控制,可以允许和引导合法用户访问正确的WEB资源,杜绝非法用户访问不应该访问的内网WEB资源,从而提高了SSL VPN网关设备的安全性,保证用户对资源访问权限的准确性和安全性。
Claims (2)
1.一种SSL VPN的内网WEB访问的安全控制方法,包括以下步骤:
(1)SSL VPN网关接收到远程主机访问内网WEB资源的请求;
(2)SSL VPN网关进行用户资源关联单元配置;
(3)SSL VPN网关根据远程主机IP地址到在线用户列表进行检查,检查成功,进行步骤(4),检查不成功,进行步骤(7);
(4)SSL VPN网关根据远程主机用户名和用户randomID到用户与随机号对应列表进行检查,检查成功,进行步骤(5),检查不成功,进行步骤(7);
(5)SSL VPN网关根据远程主机用户名和资源ID号到资源与用户关联表进行检查,检查成功,进行步骤(6),检查不成功,进行步骤(7);
(6)SSL VPN网关授权该远程主机访问权允许访问;
(7)SSL VPN网关返回未授权网页提示用户以正确用户登录访问。
2.根据权利要求1所述的一种SSL VPN的内网WEB访问的安全控制方法,其特征在于:用户资源关联单元配置包括:
资源配置单元配置资源列表;
用户配置单元配置用户列表;
用户资源关联单元配置访问控制规则,即资源与用户关联表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100234997A CN101989974A (zh) | 2009-08-04 | 2009-08-04 | 一种ssl vpn的内网web访问的安全控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100234997A CN101989974A (zh) | 2009-08-04 | 2009-08-04 | 一种ssl vpn的内网web访问的安全控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101989974A true CN101989974A (zh) | 2011-03-23 |
Family
ID=43746322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100234997A Pending CN101989974A (zh) | 2009-08-04 | 2009-08-04 | 一种ssl vpn的内网web访问的安全控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101989974A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984163A (zh) * | 2012-12-06 | 2013-03-20 | 华为技术有限公司 | 控制同一ip地址的多个主机访问网络的方法及系统 |
| CN103220289A (zh) * | 2013-04-15 | 2013-07-24 | 北京京东尚科信息技术有限公司 | 基于web应用的资源验证系统和方法 |
| WO2017161706A1 (zh) * | 2016-03-25 | 2017-09-28 | 中兴通讯股份有限公司 | 一种局域网内网资源的访问控制方法、装置及网关设备 |
| CN107277026A (zh) * | 2017-06-29 | 2017-10-20 | 福建天泉教育科技有限公司 | 一种内网访问方法及终端 |
| CN107566399A (zh) * | 2017-10-09 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种提高存储安全性的方法、装置及可读存储介质 |
| CN109347822A (zh) * | 2018-10-16 | 2019-02-15 | 杭州迪普科技股份有限公司 | 一种用户访问未授权资源的提示方法及装置 |
| CN109462589A (zh) * | 2018-11-13 | 2019-03-12 | 北京天融信网络安全技术有限公司 | 应用程序网络访问控制的方法、装置及设备 |
| CN111865618A (zh) * | 2020-09-21 | 2020-10-30 | 四川新网银行股份有限公司 | 一种联动防火墙实现ssl vpn登录保护的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
| CN101047599A (zh) * | 2006-03-31 | 2007-10-03 | 袁初成 | 一种分布式ssl vpn系统及构架方法 |
| CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
-
2009
- 2009-08-04 CN CN2009100234997A patent/CN101989974A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1719813A (zh) * | 2004-07-09 | 2006-01-11 | 威达电股份有限公司 | 具ssl保护功能的安全网关及方法 |
| CN101047599A (zh) * | 2006-03-31 | 2007-10-03 | 袁初成 | 一种分布式ssl vpn系统及构架方法 |
| CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
Non-Patent Citations (1)
| Title |
|---|
| 段卓然: ""SSL VPN系统用户权限管理模块的设计与实现"", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984163A (zh) * | 2012-12-06 | 2013-03-20 | 华为技术有限公司 | 控制同一ip地址的多个主机访问网络的方法及系统 |
| CN102984163B (zh) * | 2012-12-06 | 2015-09-30 | 华为技术有限公司 | 控制同一ip地址的多个主机访问网络的方法及系统 |
| CN103220289A (zh) * | 2013-04-15 | 2013-07-24 | 北京京东尚科信息技术有限公司 | 基于web应用的资源验证系统和方法 |
| WO2017161706A1 (zh) * | 2016-03-25 | 2017-09-28 | 中兴通讯股份有限公司 | 一种局域网内网资源的访问控制方法、装置及网关设备 |
| CN107231336A (zh) * | 2016-03-25 | 2017-10-03 | 中兴通讯股份有限公司 | 一种局域网内网资源的访问控制方法、装置及网关设备 |
| CN107277026A (zh) * | 2017-06-29 | 2017-10-20 | 福建天泉教育科技有限公司 | 一种内网访问方法及终端 |
| CN107566399A (zh) * | 2017-10-09 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种提高存储安全性的方法、装置及可读存储介质 |
| CN109347822A (zh) * | 2018-10-16 | 2019-02-15 | 杭州迪普科技股份有限公司 | 一种用户访问未授权资源的提示方法及装置 |
| CN109462589A (zh) * | 2018-11-13 | 2019-03-12 | 北京天融信网络安全技术有限公司 | 应用程序网络访问控制的方法、装置及设备 |
| CN109462589B (zh) * | 2018-11-13 | 2021-08-24 | 北京天融信网络安全技术有限公司 | 应用程序网络访问控制的方法、装置及设备 |
| CN111865618A (zh) * | 2020-09-21 | 2020-10-30 | 四川新网银行股份有限公司 | 一种联动防火墙实现ssl vpn登录保护的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101989974A (zh) | 一种ssl vpn的内网web访问的安全控制方法 | |
| CN105577665B (zh) | 一种云环境下的身份和访问控制管理系统及方法 | |
| US9641513B2 (en) | Methods and systems for controlling mobile terminal access to a third-party server | |
| US8584224B1 (en) | Ticket based strong authentication with web service | |
| US20160248752A1 (en) | Multi factor user authentication on multiple devices | |
| CN107026847A (zh) | 一种信任登录方法、服务器及系统 | |
| CN106612246A (zh) | 一种模拟身份的统一认证方法 | |
| US10225260B2 (en) | Enhanced authentication security | |
| CN102801808B (zh) | 一种面向WebLogic的Form身份鉴别的单点登录集成方法 | |
| JP2004512594A (ja) | インターネットサイトに対するアクセス制御方法 | |
| CN105187431A (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| WO2013143343A1 (zh) | 账号登录方法、装置和系统以及网络服务器 | |
| CN101997685A (zh) | 单点登录方法、单点登录系统以及相关设备 | |
| US10601809B2 (en) | System and method for providing a certificate by way of a browser extension | |
| CN103856332A (zh) | 一种多屏多因子便捷web身份认证的一对多账号映射绑定的实现方法 | |
| CN103905395B (zh) | 一种基于重定向的web访问控制方法及系统 | |
| CN103179554B (zh) | 无线宽带网络接入控制方法、装置与网络设备 | |
| CN108777699A (zh) | 一种基于物联网多域协同架构下的应用跨域访问方法 | |
| CN103685204A (zh) | 基于物联网资源共享平台的资源鉴权方法 | |
| CN103986734B (zh) | 一种适用于高安全性业务系统的鉴权管理方法和系统 | |
| US20160112389A1 (en) | Secure transfer of user authentication credentials between devices | |
| CN104683306A (zh) | 一种安全可控的互联网实名认证机制 | |
| CN108092988A (zh) | 基于动态创建临时密码的无感知认证授权网络系统和方法 | |
| CN105657474A (zh) | 在视频应用中使用基于身份签名体制的防盗链方法及系统 | |
| WO2010015609A1 (en) | An apparatus for managing user authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110323 |