CN102546594A - 一种网络资源访问控制方法、装置及相关设备 - Google Patents
一种网络资源访问控制方法、装置及相关设备 Download PDFInfo
- Publication number
- CN102546594A CN102546594A CN2011104040790A CN201110404079A CN102546594A CN 102546594 A CN102546594 A CN 102546594A CN 2011104040790 A CN2011104040790 A CN 2011104040790A CN 201110404079 A CN201110404079 A CN 201110404079A CN 102546594 A CN102546594 A CN 102546594A
- Authority
- CN
- China
- Prior art keywords
- url
- labels information
- authorization labels
- authorization
- verified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明公开了一种网络资源访问控制方法、装置及相关设备,用以准确识别远程主机是否基于允许访问的URL对应的页面访问不存在于允许访问URL列表中的URL,以简化网络侧设备授权流程,保证网络资源访问的安全性。其中,所述网络资源访问控制方法,包括:网络侧设备接收远程主机提交的第一URL,所述第一URL中包含待验证授权标签信息;并提取所述第一URL中包含的待验证授权标签信息;所述网络侧设备判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配,如果是,允许所述远程主机访问所述第一URL对应的页面,如果否,禁止所述远程主机访问所述第一URL对应的页面。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种网络资源访问控制方法、装置及相关设备。
背景技术
虚拟专用网络(VPN,Virtual Private Network)被定义为通过公用网络(可以为因特网)建立临时的、安全的连接,是一条穿过公用网络的安全、稳定隧道。VPN可以帮助远程用户、公司分支结构等同公司的内部网建立可见的安全连接。安全套接层(SSL,Secure Sockets Layer)是一套因特网数据安全协议,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,通过加密方法保护在因特网上传输的数据安全性。
SSL VPN是一种采用SSL加密连接实现远程访问的VPN技术。SSL VPN的功能如图1所示。其中,远程主机与SSL VPN网关终结了SSL连接,SSL VPN网关通过与内网服务器(服务器1、服务器2......服务器N)建立传输控制协议(TCP,Transmission Control Protocol)连接或者直接通过因特网协议(IP,International Protocol)转发,以明文方式传送远程主机发来的请求,并将内网服务器的应答通过SSL连接发送给远程主机。
为了增强网络资源访问的安全性,SSL VPN网关通过存储允许访问的统一资源定位符(URL,Uniform Resource Locator)列表对远程主机访问的网络资源进行控制。当SSL VPN网关接收到远程主机发送的访问请求时,SSL VPN网关判断访问请求中携带的URL是否存在于自身存储的允许访问URL列表中,如果存在,则允许远程主机访问该URL对应的内容,否则,禁止远程主机访问该URL对应的内容。
由于允许访问的URL对应的页面中可能包含有其它URL链接,当远程主机基于允许访问的URL对应的页面,访问其包含的URL时,如果SSL VPN网关存储的允许访问的URL中没有该外部URL时(即根据SSL VPN存储的允许访问的URL列表中不包括该URL),将导致SSL VPN网关禁止远程主机访问该外部URL的内容,但是由于远程主机基于允许访问的URL对应的页面访问该URL,能够保证网络资源访问的安全性,是允许远程主机访问的。例如,在SSL VPN网关上存储的允许访问URL列表中包含www.ruijie.net,当远程主机通过向SSL VPN网关提交包含URL地址为https://sslvpn/www.ruijie.net的访问请求,请求SSL VPN网关代理访问www.ruijie.net时,SSL VPN网关接收到远程主机提交的访问请求之后,由于自身存储的允许访问URL列表中存在www.ruijie.net,便允许远程主机访问www.ruijie.net,同时向www.ruijie.net服务器发送访问请求。SSL VPN网关接收到www.ruijie.net服务器的回复后,修改www.ruijie.net服务器回复的网页中的URL(在URL的地址部分加入前缀:sslvpn/),并将修改后的网页推送给远程主机。www.ruijie.net服务器回复的网页中可能包含https://sslvpn/www.baidu.com,此时,若远程主机通过网页www.ruijie.net访问https://sslvpn/www.baidu.com,如果在SSL VPN网关上存储的允许访问URL列表中不存在www.baidu.com时,将禁止远程主机访问www.baidu.com,而实际上允许用户通过www.ruijie.net访问www.baidu.com,即允许用户通过允许访问的URL对应的页面访问该允许访问的URL对应的页面中包含的URL。
为了解决上述问题,现有技术提出了以下两种解决方案:1)手动配置URL类表,根据允许访问的URL的内容,在SSLVPN网关上依次手动添加该允许访问的URL对应的页面中包含的URL,但是手动配置方法操作繁琐,如果允许访问的URL对应的页面发生改变,还需要对比原来的URL对应的页面并手动进行添加或者删除;2)关闭授权,关闭授权后远程主机可以不受限制的访问所有的URL,这样,将降低网络资源访问的安全性。
由上述描述可知,如何准确识别远程主机是否是基于允许访问的URL对应的页面访问不存在于允许访问URL列表中的URL,以简化网络侧设备授权流程,保证网络资源访问安全性,成为现有技术中亟待解决的技术问题之一。
发明内容
本发明实施例提供一种网络资源访问控制方法、装置及相关设备,用以准确识别远程主机是否基于允许访问的URL对应的页面访问不存在于允许访问URL列表中的URL,以简化网络侧设备关授权流程,保证网络资源访问的安全性。
本发明实施例提供一种网络资源访问控制方法,包括:
安全套接层虚拟专用网络网络侧设备接收远程主机提交的第一统一资源定位符URL,所述第一URL中包含待验证授权标签信息;并
提取所述待验证授权标签信息;
所述网络侧设备判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配,如果是,允许所述远程主机访问所述第一URL对应的页面,如果否,禁止所述远程主机访问所述第一URL对应的页面。
本发明实施例提供一种网络资源访问控制装置,包括:
第一接收单元,用于接收远程主机提交的第一统一资源定位符URL,所述第一URL中包含待验证授权标签信息;
提取单元,用于提取所述待验证授权标签信息;
第一判断单元,用于判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配;
第一处理单元,用于在所述第一判断单元的判断结果为是时,允许所述远程主机访问所述第一URL对应的页面;以及在所述第一判断单元的判断结果为否时,禁止所述远程主机访问所述第一URL对应的页面。
本发明实施例提供一种网络设备,包括上述网络资源访问控制装置。
本发明实施例提供的网络资源访问控制方法、装置及相关设备,通过在URL中增加一个授权标签信息,当远程主机需要访问该URL对应的页面时,向网络侧设备提交该URL,网络侧设备提取该远程主机提交的URL中包含的待验证授权标签信息,并将提取到的待验证标签信息与该URL对应的授权标签信息进行匹配,如果匹配则允许远程主机访问该URL对应的页面,否则,禁止远程主机访问该URL对应的页面,通过上述过程,能够准确识别出远程主机是否是基于允许访问的URL对应的页面访问该URL,从而实现了对网络资源访问的动态授权,简化了网络侧设备授权流程,同时保证了网络资源访问的安全性。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
图1为现有技术中,SSL VPN的功能示意图;
图2为本发明实施例中,网络资源访问控制方法的实施流程示意图;
图3为本发明实施例中,远程主机通过SSL VPN网关访问URL1和URL2的实施流程示意图;
图4为本发明实施例中,网络资源访问控制装置的结构示意图。
具体实施方式
为了在远程主机通过允许访问的URL访问允许访问不存在于URL列表中的URL时,简化网络侧设备授权流程,保证网络资源访问的安全性,本发明实施例提供了一种网络资源访问控制方法及相关设备。
为了在远程主机访问网络资源的过程中,准确区分远程主机是否是基于允许访问的URL对应的页面访问不存在于URL列表中的URL,以简化网络侧设备授权流程,保证网络资源访问的安全性,本发明实施例通过网络侧设备在允许访问的URL对应的页面中包含的URL中添加一个授权标签信息,其中,该授权标签信息可以是URL的一个分层也可以是一个参数字段等。当远程主机向网络侧设备提交需要访问的页面的URL时,网络侧设备可以提取该URL中包含的授权标签信息,并与该URL对应的授权标签信息进行匹配,如果匹配,则说明远程主机是通过允许访问的URL对应的页面发起的请求,该URL对应的页面是安全的,因此,网络侧设备将允许该远程主机访问该URL对应的页面,否则,网络侧设备将禁止远程主机访问该URL对应的页面。
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
如图2所示,为本发明实施例提供的网络资源访问控制方法的实施流程示意图,包括以下步骤:
S201、网络侧设备接收远程主机提交的第一URL,该第一URL中包含待验证授权标签信息;
具体的,远程主机通过网络侧设备访问某一URL对应的页面时,首先通过浏览器向网络侧设备提交该URL;
S202、网络侧设备提取该第一URL中包含的待验证授权标签信息;
S203、网络侧设备判断该待验证授权标签信息与该第一URL对应的授权标签信息是否匹配,如果是,执行步骤S104,如果否,执行步骤S105;
S204、允许该远程主机访问该第一URL对应的页面;
S205、禁止该远程主机访问该第一URL对应的页面。
较佳地,步骤S203中涉及的该第一URL对应的授权标签信息可以按照如下过程生成:
步骤一、网络侧设备接收远程主机提交的第二URL,该第二URL对应的页面中包含该第一URL对应的原始URL;
其中,第一URL对应的原始URL即为添加授权标签信息之前的URL。
步骤二、网络侧设备确定该第二URL在自身存储的允许访问URL列表中时,生成原始URL对应的授权标签信息,并将该生成的授权标签信息确定为第一URL对应的授权标签信息。
具体实施中,当网络侧设备上生成该原始URL对应的授权标签信息之后,还可以包括以下步骤:
网络侧设备将该授权标签信息添加至该原始URL中,得到第一URL,并将包含第一URL的第二URL对应的页面推送给该远程主机。即在网络侧设备推送给远程主机的第二URL页面中,已将其包含的URL添加了授权标签信息。
特别地,网络侧设备在判断待验证授权标签信息与第一URL对应的授权标签信息是否匹配之前,需要确定该待验证授权标签信息与授权标签信息的预设值是否相同。假设授权标签信息为URL分层,URL分层即为URL中以“/”划分开的一段内容,例如,添加授权标签信息之前的URL为https://sslvpn/www.ruijie.net,则添加授权标签信息之后的URL为https://sslvpn/authinfoofhost/www.ruijie.net,其中,authinfoofhost即为授权标签信息,其预设值为0(预设值可以任意指定,只要能够标识当前的URL为远程主机直接通过浏览器向网络侧设备提交URL,请求访问该URL对应的页面即可)。当网络侧设备确定远程主机提交的URL中包含的待验证授权标签信息与预设值相同时,则说明该远程主机为直接通过浏览器直接提交URL,请求访问该URL对应的页面,此时,网络侧设备需要判断远程主机提交的URL是否存在于自身存储的允许访问URL列表中,如果是,则网络侧设备允许远程主机访问该URL对应的页面,如果否,网络侧设备不允许远程主机访问该URL对应的页面;当SSL网关确定远程主机提交的URL中包含的待验证授权标签信息与预设值不同时,则说明远程主机不是直接通过浏览器直接提交URL,此时,网络侧设备需要判断远程主机提交的URL中包含的待验证授权标签信息与该URL对应的授权标签信息是否相同,如果相同,则说明远程主机是基于允许访问的URL页面发起的请求,网络侧设备允许该远程主机访问该URL对应的页面,如果不同,网络侧设备禁止该远程主机访问该URL对应的页面。
需要说明的是,本发明实施例涉及的网络侧设备可以为SSL VPN网关,但是本发明实施例提供的资源访问控制的方法,不仅适用于SSL VPN网关,对于采用WEB代理需要进行授权的操作均适用。为了便于描述,以下以网络侧设备为SSL VPN网关为例进行说明。
具体的,假设URL1存在于SSL VPN网关允许访问的URL列表中,URL2不存在于SSL VPN网关允许访问的URL列表中,且URL1对应的页面中包含有URL2的链接。当远程主机向SSL VPN网关发送URL1访问请求时,假设URL1的地址为https://sslvpn/0/host1,SSL VPN网关接收到远程主机提交的URL1之后,提取URL中包含的授权标签信息(其值为0),由于授权标签信息与预设值相同,则SSL VPN网关判断URL1是否存在与SSL VPN网关存储的允许访问的URL列表中,当确定出URL1存在于允许访问的URL列表中时,SSL VPN网关允许远程主机访问URL1对应的页面,并向地址为host1的服务器发送请求,SSL VPN网关接收到地址为host1的服务器返回的URL1对应的页面之后,修改该页面中包含的所有URL(包括URL2),具体的,SSL VPN网关针对该页面中包含的每个URL,生成该URL对应的授权标签信息,并将生成的授权标签信息添加到该URL中,并将添加了授权标签信息的页面推送给远程主机,以URL2为例,假设URL2对应的服务器地址为host2,则添加了授权标签信息之后的URL2地址为https://sslvpn/authinfoofhost2/host2,其中authinfoofhost2即为SSL VPN网关为URL2生成的授权标签信息。
当远程主机基于URL对应的页面访问URL2时,即远程主机在URL对应的页面上直接点击URL2的链接,将URL2提交给SSL VPN网关,由于此时URL2的地址为https://sslvpn/authinfoofhost2/host2,SSL VPN网关提取其中的待验证授权标签信息authinfoofhost2,并与URL2对应的授权标签信息匹配,如果匹配,则允许远程主机访问URL2对应的页面。如果远程主机通过浏览器直接访问URL2时,此时,URL2对应的地址为https://sslvpn/0/host2,SSL VPN网关提取其中的待验证授权标签信息(其值为0),由于待验证授权标签信息与预设值相同,则SSL VPN网关判断URL2是否存在于自身存储的允许访问的URL列表中,由于URL2不存在于允许访问的URL列表中,则SSL VPN网关禁止远程主机访问URL2对应的页面。
本发明实施中,对于SSL VPN网关为每个URL生成授权标签信息以及对授权标签信息进行匹配的算法不进行限定,只要是生成的授权标签信息能够认证当前请求问问的URL即可。以下通过具体的实施例对SSL VPN网关为每个URL生成授权标签信息以及对授权标签信息进行匹配的过程进行说明。
假设www.ruijie.net为远程主机原始请求访问的URL1,www.baidu.com为远程主机基于URL1对应的页面访问的URL2,其中一种生成授权标签信息的方法如下:
步骤一、输入www.ruijie.net,使用A算法输出一个值R1,其中A算法可以为输入一段字符串后,首先使用消息摘要算法第5版(MD5)算法,产生一个128位的信息摘要,将摘要分成4组,每组32位,每组之间相互异或后得到一个32位的输出。例如,输入www.ruijie.net,使用MD5算法产生一个128为的信息摘要:265014b14770be3e99f03539b763f4fe(此处采用十六进制标识,转化为二进制后即为128位),将其划分为4组:265014b1、4770be3e、99f03539、b763f4fe,它们之间进行异或之后:265014b 1xor 4770be3e xor 99f03539 xorb763f4fe=4fb36b48,即R1=4fb36b48;
步骤二、输入www.baidu.com,使用A算法后得到一个输出值R2,具体处理过程与步骤一中输入www.ruijie.net的处理过程相同,这里不再赘述,假设得到的R2=eb415b30;
步骤三、使用B算法对R1和R2进行处理,得到输出值R3;
其中,B算法为输入两个32位数,相互异或后得到一个32位的输出,例如R1 xor R2=4fb36b48 xor eb415b30=a4f23078,及R3=a4f23078;
步骤四、输入R1和R3,使用C算法生成授权标签信息;
其中,C算法为输入两个长度为8的字符串,将它们连接后输出一个长度为16的字符串,例如输入R1(4fb36b48)和R3(a4f23078)后,输出值为4fb36b48a4f23078,以及授权标签信息为4fb36b48a4f23078。
相应地,当SSL VPN网关提取到远程主机提交的URL中包含的待验证授权标签信息之后,可以按照以下方法进行授权标签信息的匹配:
步骤一、输入授权标签信息,使用D算法得到两个输出值,假设为R5和R6,其中D算法与C算法互为逆算法,即输入一个长度为16的字符串,使用D算法能够将该字符串拆分为两个长度为8的字符串;
例如,输入授权标签信息4fb36b48a4f23078,可以得到两个输出值,分别为R5=4fb36b48和R6=a4f23078;
步骤二、输入www.baidu.com,使用A算法得到一个输出值R7;
具体的,假设输出值R7=eb415b30;
步骤三、输入R5和R7使用B算法,得到输出值R8,假设R8=a4f23078;
步骤四、判断R8是否与R6相同,如果相同,则确定待验证授权标签信息与URL2对应的授权标签信息匹配,如果不同,则确定待验证授权标签信息与URL2对应的授权标签信息不匹配。
为了更好地理解本发明实施例,以下以远程主机通过SSL VPN网关访问URL1和URL2为例对本发明实施例的实施过程进行说明。其中,URL1存在于SSL VPN网关允许访问的URL列表中,URL2不存在于SSL VPN网关允许访问的URL列表中,且URL1对应的页面中包含有URL2的链接。
如图3所示,为远程主机基于URL1访问URL2时,SSL VPN网关对远程主机进行动态授权的实施流程示意图,包括以下步骤:
S301、远程主机向SSL VPN网关提交URL1;
具体的,用户通过在浏览器中输入URL1,向SSL VPN网关提交URL1,在URL1中包含授权标签信息的预设值,例如,远程主机访问www.ruijie.net,当用户在浏览器中输入www.ruijie.net并提交之后,将被修改为:https://sslvpn/0/www.ruijie.net;
S302、SSL VPN网关提取URL1中的待验证授权标签信息;
S303、SSL VPN网关判断提取到的待验证授权标签信息是否与预设值相同,如果相同,则执行步骤S304,如果不相同,执行步骤S305;
S304、SSL VPN网关判断URL1是否存在于允许访问的URL列表中,如果是,执行步骤S306,如果否,执行步骤307;
S305、SSL VPN网关对URL1进行动态授权;
具体的,SSL VPN网关对URL1的动态授权过程可参见步骤S313~S315,这里不再赘述。
S306、SSL VPN网关向URL1的服务器host1发送请求,请求URL1对应的页面,并执行步骤S308;
S307、SSL VPN网关禁止远程主机访问URL1对应的页面;
S308、SSL VPN网关接收host1返回的URL1对应的页面;
S309、SSL VPN网关修改URL1对应的页面中包含的所有URL链接;
具体的,针对URL1对应的页面中包含的每个URL(包括URL2),SSL VPN网关为该URL生成其对应的授权标签信息,并将该授权标签信息添加到该URL中;
S310、SSL VPN网关将URL1对应的页面返回给远程主机;
S311、远程主机通过URL1对应的页面向SSL VPN网关提交URL2,请求访问URL2对应的页面;
具体的,远程主机在访问URL1对应的页面的过程中,直接在该页面上点击URL2链接;
S312、SSL VPN网关提取URL2中包含的待验证授权标签信息;
S313、SSL VPN网关判断提取到的待验证授权标签信息与URL2对应的授权标签信息是否匹配,如果是,执行步骤S314,否则,执行步骤S315;
S314、SSL VPN网关允许远程主机访问URL2对应的页面;
具体的,SSL VPN网关将向URL2对应的服务器host2发送请求,请求URL2对应的页面。
S315、SSL VPN禁止远程主机访问URL2对应的页面。
基于同一发明构思,本发明实施例中还提供一种网络资源访问控制装置及一种网络设备,由于该装置及网络设备解决问题的原理与上述网络资源访问控制方法相似,因此该装置及网络设备的实施可以参见上述网络资源访问控制方法的实施,重复之处不再赘述。
如图4所示,为本发明实施例提供的网络资源访问控制装置,包括:
第一接收单元401,用于接收远程主机提交的第一URL,该第一URL中包含待验证授权标签信息;
提取单元402,用于提取第一URL中包含的待验证授权标签信息;
第一判断单元403,用于判断提取单元402提取的待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配;
第一处理单元404,用于在第一判断单元403的判断结果为是时,允许远程主机访问第一URL对应的页面;以及在第一判断单元403的判断结果为否时,禁止远程主机访问第一URL对应的页面。
具体实施中,网络资源访问控制装置,还可以包括:
第二接收单元,用于接收远程主机提交的第二URL,该第二URL对应的页面中包含该第一URL对应的原始URL;
生成单元,用于确定第二URL在自身存储的允许访问URL列表中时,生成该原始URL对应的授权标签信息,将生成的授权标签信息确定为第一URL对应的授权标签信息。
具体实施中,网络资源访问控制装置,还可以包括:
添加单元,用于将生成单元生成的授权标签信息添加至原始URL中,得到第一URL;
推送单元,用于将包含第一URL的第二URL对应的页面推送给所述远程主机。
具体实施中,网络资源访问控制装置,还可以包括:
确定单元,用于在第一判断单元403判断所述待验证授权标签信息与第一URL对应的授权标签信息是否匹配之前,确定待验证授权标签信息与授权标签信息的预设值不同。
具体实施中,网络资源访问控制装置,还可以包括:
第二判断单元,用于在第一判断单元403判断待验证授权标签信息与第一URL对应的授权标签信息是否匹配之前,确定该待验证授权标签信息与授权标签信息的预设值相同时,判断第一URL是否在自身存储的允许访问URL列表中;
第二处理单元,用于在第二判断单元的判断结果为是时,允许远程主机访问第一URL对应的页面;在第二判断单元的判断结果为否时,禁止远程主机访问所述第一URL对应的页面。
在本发明实施例中,网络资源访问控制装置可以设置在SSL VPN网关中,由SSL VPN网关控制网络资源的访问。需要说明的是,将上述网络资源访问控制装置设置在SSL VPN网关中只是一种较佳实施方式,具体实施中,可以根据实际的需要将上述网络资源访问控制装置设置在其它网络设备中,当然也可以设置在新增网络设备中。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
本发明实施例提供的网络资源访问控制方法及相关设备,通过在URL中增加一个授权标签信息,当远程主机需要访问该URL对应的页面时,向网络侧设备提交该URL,网络侧设备提取该远程主机提交的URL中包含的待验证授权标签信息,并将提取到的待验证标签信息与该URL对应的授权标签信息进行匹配,如果匹配则允许远程主机访问该URL对应的页面,否则,禁止远程主机访问该URL对应的页面,通过上述过程,能够准确识别出远程主机是否是基于允许访问的URL对应的页面访问该URL,从而实现了对网络资源访问的动态授权,简化了网络侧设备授权流程,同时保证了网络资源访问的安全性。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1.一种网络资源访问控制方法,其特征在于,包括:
网络侧设备接收远程主机提交的第一统一资源定位符URL,所述第一URL中包含待验证授权标签信息;并
提取所述待验证授权标签信息;
所述网络侧设备判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配,如果是,允许所述远程主机访问所述第一URL对应的页面,如果否,禁止所述远程主机访问所述第一URL对应的页面。
2.如权利要求1所述的方法,其特征在于,所述第一URL对应的授权标签信息,按照如下方法确定:
所述网络侧设备接收所述远程主机提交的第二URL,所述第二URL对应的页面中包含所述第一URL对应的原始URL;
所述网络侧设备确定所述第二URL在自身存储的允许访问URL列表中时,生成该原始URL对应的授权标签信息,将所述生成的授权标签信息确定为所述第一URL对应的授权标签信息。
3.如权利要求2所述的方法,其特征在于,还包括:
所述网络侧设备将所述授权标签信息添加至所述原始URL中,得到所述第一URL;并
将包含所述第一URL的第二URL对应的页面推送给所述远程主机。
4.如权利要求1所述的方法,其特征在于,还包括:
所述网络侧设备在判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配之前,确定所述待验证授权标签信息与授权标签信息的预设值不同。
5.如权利要求1所述的方法,其特征在于,还包括:
所述网络侧设备在判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配之前,确定所述待验证授权标签信息与授权标签信息的预设值相同时,判断所述第一URL是否在自身存储的允许访问URL列表中;以及
在判断结果为是时,允许所述远程主机访问所述第一URL对应的页面;在判断结果为否时,禁止所述远程主机访问所述第一URL对应的页面。
6.一种网络资源访问控制装置,其特征在于,包括:
第一接收单元,用于接收远程主机提交的第一统一资源定位符URL,所述第一URL中包含待验证授权标签信息;
提取单元,用于提取所述待验证授权标签信息;
第一判断单元,用于判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配;
第一处理单元,用于在所述第一判断单元的判断结果为是时,允许所述远程主机访问所述第一URL对应的页面;以及在所述第一判断单元的判断结果为否时,禁止所述远程主机访问所述第一URL对应的页面。
7.如权利要求6所述的装置,其特征在于,还包括:
第二接收单元,用于接收所述远程主机提交的第二URL,所述第二URL对应的页面中包含所述第一URL对应的原始URL;
生成单元,用于确定所述第二URL在自身存储的允许访问URL列表中时,生成该原始URL对应的授权标签信息,将所述生成的授权标签信息确定为所述第一URL对应的授权标签信息。
8.如权利要求7所述的装置,其特征在于,还包括:
添加单元,用于将所述生成单元生成的授权标签信息添加至所述原始URL中,得到所述第一URL;
推送单元,用于将包含所述第一URL的第二URL对应的页面推送给所述远程主机。
9.如权利要求6所述的装置,其特征在于,还包括:
确定单元,用于在所述第一判断单元判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配之前,确定所述待验证授权标签信息与授权标签信息的预设值不同。
10.如权利要求6所述的装置,其特征在于,还包括:
第二判断单元,用于在所述第一判断单元判断所述待验证授权标签信息与所述第一URL对应的授权标签信息是否匹配之前,确定所述待验证授权标签信息与授权标签信息的预设值相同时,判断所述第一URL是否在自身存储的允许访问URL列表中;
第二处理单元,用于在所述第二判断单元的判断结果为是时,允许所述远程主机访问所述第一URL对应的页面;在所述第二判断单元的判断结果为否时,禁止所述远程主机访问所述第一URL对应的页面。
11.一种网络设备,其特征在于,包括权利要求6~10任一权利要求所述的装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110404079.0A CN102546594B (zh) | 2011-12-07 | 2011-12-07 | 一种网络资源访问控制方法、装置及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110404079.0A CN102546594B (zh) | 2011-12-07 | 2011-12-07 | 一种网络资源访问控制方法、装置及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102546594A true CN102546594A (zh) | 2012-07-04 |
| CN102546594B CN102546594B (zh) | 2014-07-02 |
Family
ID=46352558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110404079.0A Active CN102546594B (zh) | 2011-12-07 | 2011-12-07 | 一种网络资源访问控制方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102546594B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888358A (zh) * | 2012-12-20 | 2014-06-25 | 中国移动通信集团公司 | 一种路由方法、装置、系统及网关设备 |
| CN105095488A (zh) * | 2015-08-18 | 2015-11-25 | 北京京东尚科信息技术有限公司 | 应对轮询访问网页的方法和装置 |
| CN105429934A (zh) * | 2014-09-19 | 2016-03-23 | 腾讯科技(深圳)有限公司 | Https连接验证的方法和装置 |
| CN105978914A (zh) * | 2016-07-18 | 2016-09-28 | 北京小米移动软件有限公司 | 网页访问方法及装置 |
| CN108063714A (zh) * | 2016-11-09 | 2018-05-22 | 北京国双科技有限公司 | 一种网络请求的处理方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099742B (zh) * | 2014-05-20 | 2020-01-14 | 中兴通讯股份有限公司 | 一种采集数据的方法、装置、系统及终端 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7228438B2 (en) * | 2001-04-30 | 2007-06-05 | Matsushita Electric Industrial Co., Ltd. | Computer network security system employing portable storage device |
| CN101242336A (zh) * | 2008-03-13 | 2008-08-13 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
| CN100571188C (zh) * | 2007-09-12 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种提高ssl网关处理效率的方法及ssl网关 |
| CN101681333A (zh) * | 2007-04-30 | 2010-03-24 | 惠普发展公司,有限责任合伙企业 | 验证对远程计算机系统访问网页的许可的方法和系统 |
| CN101989909A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种ssl vpn的访问链接改写方法 |
| CN102164156A (zh) * | 2010-02-24 | 2011-08-24 | 腾讯科技(深圳)有限公司 | 一种资源发布方法及系统 |
-
2011
- 2011-12-07 CN CN201110404079.0A patent/CN102546594B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7228438B2 (en) * | 2001-04-30 | 2007-06-05 | Matsushita Electric Industrial Co., Ltd. | Computer network security system employing portable storage device |
| CN101681333A (zh) * | 2007-04-30 | 2010-03-24 | 惠普发展公司,有限责任合伙企业 | 验证对远程计算机系统访问网页的许可的方法和系统 |
| CN100571188C (zh) * | 2007-09-12 | 2009-12-16 | 杭州华三通信技术有限公司 | 一种提高ssl网关处理效率的方法及ssl网关 |
| CN101242336A (zh) * | 2008-03-13 | 2008-08-13 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
| CN101989909A (zh) * | 2009-08-04 | 2011-03-23 | 西安交大捷普网络科技有限公司 | 一种ssl vpn的访问链接改写方法 |
| CN102164156A (zh) * | 2010-02-24 | 2011-08-24 | 腾讯科技(深圳)有限公司 | 一种资源发布方法及系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103888358A (zh) * | 2012-12-20 | 2014-06-25 | 中国移动通信集团公司 | 一种路由方法、装置、系统及网关设备 |
| CN103888358B (zh) * | 2012-12-20 | 2017-05-03 | 中国移动通信集团公司 | 一种路由方法、装置、系统及网关设备 |
| CN105429934A (zh) * | 2014-09-19 | 2016-03-23 | 腾讯科技(深圳)有限公司 | Https连接验证的方法和装置 |
| CN105429934B (zh) * | 2014-09-19 | 2019-07-19 | 腾讯科技(深圳)有限公司 | Https连接验证的方法和装置、可读存储介质、终端 |
| CN105095488A (zh) * | 2015-08-18 | 2015-11-25 | 北京京东尚科信息技术有限公司 | 应对轮询访问网页的方法和装置 |
| CN105978914A (zh) * | 2016-07-18 | 2016-09-28 | 北京小米移动软件有限公司 | 网页访问方法及装置 |
| CN105978914B (zh) * | 2016-07-18 | 2019-05-21 | 北京小米移动软件有限公司 | 网页访问方法及装置 |
| CN108063714A (zh) * | 2016-11-09 | 2018-05-22 | 北京国双科技有限公司 | 一种网络请求的处理方法及装置 |
| CN108063714B (zh) * | 2016-11-09 | 2021-02-12 | 北京国双科技有限公司 | 一种网络请求的处理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102546594B (zh) | 2014-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20180160255A1 (en) | Nfc tag-based web service system and method using anti-simulation function | |
| CN104021333B (zh) | 移动安全表袋 | |
| EP3249877B1 (en) | Redirection method, apparatus, and system | |
| JP5925335B2 (ja) | ネットワーク安全保護方法、装置及びシステム | |
| CN111201754A (zh) | 用于提供区块链的环节的密码学保护的和经过滤的以及经排序的交易数据集的集合的设备 | |
| KR101744747B1 (ko) | 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 | |
| CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
| CN102546594A (zh) | 一种网络资源访问控制方法、装置及相关设备 | |
| CN103873454A (zh) | 一种认证方法及设备 | |
| CN105554098A (zh) | 一种设备配置方法、服务器及系统 | |
| CN105472052A (zh) | 一种跨域服务器的登录方法和系统 | |
| CN105187397A (zh) | 一种web系统页面集成防盗链方法及系统 | |
| CN105228153A (zh) | 网络接入方法、系统和无线路由设备 | |
| CN105340213A (zh) | 用于安全数据传输的方法和设备 | |
| CN105791451A (zh) | 一种报文响应方法及装置 | |
| CN106341233A (zh) | 客户端登录服务器端的鉴权方法、装置、系统及电子设备 | |
| CN103312664A (zh) | 表单验证方法、装置和系统 | |
| CN105101183A (zh) | 对移动终端上隐私内容进行保护的方法和系统 | |
| CN105354451A (zh) | 访问鉴权的方法及系统 | |
| CN102823217A (zh) | 证书机构 | |
| CN103634399A (zh) | 一种实现跨域数据传输的方法和装置 | |
| CN107835160A (zh) | 基于二维码的第三方用户认证方法 | |
| CN103971059A (zh) | 一种Cookie本地存储与使用方法 | |
| KR101601631B1 (ko) | 서비스단말 상태에 따른 사용자 권한 설정기능을 갖는 사물인터넷 시스템 및 그 방법 | |
| CN111770072A (zh) | 一种单点登录接入功能页面的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |