发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种企业内网访问控制方法和系统。
依据本发明的一个方面,提供了一种企业内网访问控制方法,包括:
针对企业内网中由控制台监控的各终端,针对企业内网中由控制台监控的各终端,终端浏览器拦截本身的网页请求;
将网页请求对应的网址信息发送至控制台;所述控制台根据网址信息库 判断所述网址信息是否被允许访问;
根据控制台返回的对所述网址信息的判断结果,确定停止对所述网页请求的拦截,允许所述网页请求访问相应网站,或者确定取消所述网页请求。
可选的,所述拦截终端浏览器的网页请求包括:
调用系统钩子函数钩取网页请求,获取所述网页请求中的网址信息。
可选的,所述将网页请求对应的网址信息发送至控制台时还包括:
将用户标识发送至控制台;
则进一步的,所述控制台根据网址信息库判断所述网址信息是否被允许访问包括:
所述控制台根据所述用户标识对应的个性化网址信息库,判断是否允许用户标识所在终端浏览器访问所述网址信息。
可选的,所述将网页请求对应的网址信息发送至控制台,包括:
将所述网址信息加密发送至控制台;所述控制台根据相应解密方式进行解密获得所述网址信息。
可选的,所述根据控制台返回的对所述网址信息的判断结果,确定是停止对所述网页请求的拦截,允许所述网页请求访问相应网站,或者确定是取消所述网页请求,还包括:
在控制台返回的对所述网址信息的判断结果为不允许时,同时返回待显示页面信息;
浏览器解析所述待显示页面信息,并在当前页面显示所述页面信息。
依据本发明的另外一个方面,提供了一种企业内网访问控制系统,包括:
终端浏览器和控制台;
所述终端浏览器包括:
网页请求拦截模块,适于针对企业内网中由控制台监控的各终端,终端浏览器拦截本身的网页请求;
网址信息发送模块,适于将网页请求对应的网址信息发送至控制台;
判断处理模块,适于根据控制台返回的对所述网址信息的判断结果,确定是停止对所述网页请求的拦截,允许所述网页请求访问相应网站,或者确 定取消所述网页请求;
所述控制台包括:
比较判断模块,适于根据网址信息库判断所述网址信息是否被禁止访问,并返回判断结果至终端浏览器。
可选的,所述网页请求拦截模块包括:
钩取模块,适于调用系统钩子函数钩取网页请求,获取所述网页请求中的网址信息。
可选的,所述网址信息发送模块还适于:
将用户标识发送至控制台;
则相应的,所述控制台还适于:
根据所述用户标识对应的个性化网址信息库,判断是否允许用户标识所在终端浏览器访问所述网址信息。
可选的,所述网址信息发送模块包括:
加密模块,适于将所述网址信息加密;
发送模块,适于将所述加密后的网址信息发送至控制控制台;
则所述控制台还包括:
解密模块,适于根据相应解密方式进行解密获得所述网址信息。
可选的,所述控制台还适于:
控制台返回的对所述网址信息的判断结果为不允许时,同时返回待显示页面信息;
相应的所述终端浏览器还包括:
解析显示模块,适于浏览器解析所述待显示页面信息,并在当前页面显示所述页面信息。
与现有技术相比,本发明包括以下优点:
本发明在封闭网中,针对需要限制网内终端浏览器访问外网的情况,本发明可将网内的某个终端浏览器设置为控制台,然后终端浏览器拦截其网页请求,将网址信息发送给控制台,由控制台根据网址信息库判断是否允许访问,将判断结果返回给终端浏览器;终端浏览器则根据判断结果确定对当前 拦截的网页请求进行允许访问或者结束访问动作。该过程中,可在封闭网原有系统的基础上,安装相应的软件系统,即可实现网页访问的限制,无需购买任何硬件防火墙等硬件设备,节省硬件成本,并且因为减少了硬件设施,更便于后期维护,降低维护成本。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
参照图1,示出了本发明一种企业内网访问控制方法实施例一的流程示意图,具体可以包括:
步骤110,针对企业内网中由控制台监控的各终端,终端浏览器拦截本身的网页请求;
本实施例中,在封闭网中,包括各终端和控制台。其中,可由控制台控制各终端的安全情况等状态。
在本实施例中,对于封闭网中的终端浏览器,如果其通过浏览器访问网页时,可由浏览器拦截其网页请求,即本实施例可在浏览器侧拦截网页请求。优选的,所述拦截终端浏览器的网页请求包括:
调用系统钩子函数钩取网页请求,获取所述网页请求中的网址信息。
具体的,可包括:
步骤A11,通过钩子函数监听并钩取鼠标和键盘的触发浏览器地址栏url事件;
在本实施例中,可在浏览器中嵌入拦截组件,拦截组件的嵌入可通过嵌入钩子函数实现,比如通过调用SetWindowsHookEx()函数嵌入安装监听和钩取鼠标和键盘的触发浏览器地址栏url(Uniform/Universal Resource Locator,统一资源定位符)事件的钩子函数,SetWindowsHookEx()函数示例可如下:
idHook是”钩子”的类型,lpfn指向“钩子”过程的指针,hMod“钩子”过程所在模块的句柄,dwThreadId“钩子”相关线程的标识。其中idHook:WH KEYBOARD:键盘消息“钩子”,WH MOUSE:鼠标消息“钩子”,通过以上两种钩子,监听鼠标或者键盘的事件。
比如用户在浏览器地址栏输入www.360.com并按回车键,键盘回车键则触发一个浏览器地址栏url事件,本步骤则拦截该事件。
步骤120,将网页请求对应的网址信息发送至控制台;所述控制台根据网址信息库判断所述网址信息是否被允许访问;
当终端浏览器在浏览器侧的拦截到网页请求后,可将提取其对应的网址信息,转发至本实施例的控制台。控制台在接收到网址信息后,将所收网址信息与网址信息库进行比较判断,判断所述网址信息是否被禁止访问,然后将判断结果返回给该终端浏览器。在本实施例中,网址信息库可为白名单,即属于该名单内的网址,则允许访问,不属于该名单内的网址信息则禁止访问。
比如对于前述通过钩子函数,监听并钩取到鼠标或键盘触发浏览器地址栏的url事件时,获取其中的url。即前述例子中首先提取的www.360.com,然后将www.360.com转发至控制台,控制台在接收到www.360.com后与控制台维持的白名单进行匹配比较,发现www.360.com匹配上,则允许访问www.360.com,那么返回允许访问www.360.com的判断结果至该终端浏览器。
其中,对于一个网站来说,其下属的子网站的数量可能相当庞大,而将这些子网站的url完全放入网址信息库效率低下,那么可将其父网站的字段放入网址信息库。那么对于网址信息,分析其中是否包括主网站的字段。以白名单为例,如果包括,则可允许。比如www.sina.com.cn,将主网站字段sina.com.cn 加入网站信息库,那么钩取的url 可能为http://finance.sina.com.cn/chanjing/cyxw/20120905/023013046617.shtml,那么控制台即可根据网址信息库比较判断该url中是否存在sina.com.cn,如果存 在即可允许。
步骤130,根据控制台返回的对所述网址信息的判断结果,确定是停止对所述网页请求的拦截,允许所述网页请求访问相应网站,或者确定是取消所述网页请求。
控制台在将网址信息与其维持的网址信息库进行比较判断后,会得出是否允许访问该网址信息的结论,并将该结论返回给相应终端浏览器,那么终端浏览器在接收到该判断结果后,进一步的讲,在终端浏览器侧接收到该判断结果后:
如果是允许访问该网址信息,则停止对所述网页请求的拦截,允许所述网页请求进入下一步处理过程。对于前述通过钩子函数钩取网页请求的操作,则通知钩子函数退出,停止钩取,则浏览器地址栏的url事件则进入下一过程处理,最终访问网页信息对应的页面。
如果是禁止访问该网址信息,则取消所述网页请求。对于前述通过钩子函数拦截网页请求操作,则可通过钩子函数将对浏览器地址栏的url事件转入禁止访问的页面。比如如果是ie浏览器,可以直接跳转到另外一个显示不允许访问的页面;如果是非ie浏览器,则可直接禁止终端浏览器的访问权限,然后在终端浏览器弹框,表示访问的无权限网址已经被拦截。
在本发明中,所述根据控制台返回的对所述网址信息的判断结果,确定是停止对所述网页请求的拦截,允许所述网页请求访问相应网站,或者确定是取消所述网页请求,还包括:
步骤B1,在控制台返回的对所述网址信息的判断结果为不允许时,同时返回待显示页面信息;
比如在控制台对拒绝访问的情况,预置一特设的显示页面的html(HypertextMarkup Language,超文本标记语言)文档,然后在判断拒绝访问所述网址信息时,同时将该html文档返回给终端浏览器侧。
步骤B2,浏览器解析所述待显示页面信息,并在当前页面显示所述页面信息。
终端浏览器侧接收到所述html文档后,则根据拒绝访问的判断结果,针对原网址信息的访问请求,跳转到该html文档对应的页面,那么解析该html文档并进行渲染展示。
本实施例针对需要限制网内终端浏览器访问外网的情况,本发明可将网内的某个终端浏览器设置为控制台,然后终端浏览器拦截其网页请求,将网址信息发送给控制台,由控制台根据网址信息库判断是否允许访问,将判断结果返回给终端浏览器;终端浏览器则根据判断结果确定对当前拦截的网页请求进行允许访问或者结束访问动作。该过程中,可在封闭网原有系统的基础上,安装相应的软件系统,即可实现网页访问的限制,无需购买任何硬件防火墙等硬件设备,节省硬件成本,并且因为减少了硬件设施,更便于后期维护,降低维护成本。
参照图2,示出了本发明一种企业内网访问控制方法实施例二的流程示意图,具体可以包括:
步骤S 110,针对企业内网中由控制台监控的各终端,终端浏览器拦截本身的网页请求;
步骤S120,将网页请求对应的网址信息和用户标识发送至控制台;所述控制台根据所述用户标识对应的个性化网址信息库,判断是否允许用户标识所在终端浏览器访问所述网址信息;
在本实施例中,终端浏览器在使用浏览器访问网页时,可采用用户标识进行登录,然后再输入网址信息进行访问。而相应在控制台,针对每个各个用户标识独立设置了一个个性化的网址信息库。
当步骤S110针对企业内网中由控制台监控的各终端,终端浏览器拦截本身的网页请求后,终端浏览器将相应网页信息和用户标识发送至控制台。而当控制台接收到网址信息和相应用户标识后,首先根据用户标识查找相应的个性化网址信息库,再将网址信息与所述个性化网址信息库进行匹配比较,判断是否允许用户标识所在终端浏览器访问所述网址信息。
比如封闭网中,以白名单为例,在控制台针对用户A设置个性化网址信息库A:www.sina.com.cn,www.163.com;针对用户B设置个性化网址信息 库B:www.163.com,www.360safe.com;针对用户C设置个性化网址信息库C:www.sogou.com,www.ku6.com。
如果用户A在终端浏览器访问www.sina.com.cn,那么终端浏览器将www.sina.com.cn和用户标识A发送至控制台后,控制台则依据用户标识A查到个性化网址信息库A:www.sina.com.cn,www.163.com,对网址信息比较分析发现www.sina.com.cn存在,则可允许用户A所在终端浏览器访问该网站。
如果用户B在终端浏览器访问www.sina.com.cn,那么终端浏览器将www.sina.com.cn和用户标识B发送至控制台后,控制台则依据用户标识B查到个性化网址信息库B:www.163.com,www.360safe.com,对网址信息比较分析发现www.sina.com.cn存在,则可拒绝用户B所在终端浏览器访问该网站。
其中,还可设置公用网址信息库。如果未查询到对应用户标识的个性化网址信息库,则可将网址信息在公用网址信息库中进行比较判断。
步骤S130,根据控制台返回的对所述网址信息的判断结果,确定停止对所述网页请求的拦截,允许所述网页请求访问相应网站,或者确定取消所述网页请求。
在本实施例中,在控制台,针对每个各个用户标识独立设置了一个个性化的网址信息库,可针对不同的用户标识设置不同的访问权限,方便进个性化的管理,可进一步降低维护成本。
另外,在步骤S120中,在发送网址信息时还可发送终端浏览器的权限等级至控制台,而在控制台针对不同的权限等级设置不同的权限的网址信息库。那么控制台则可根据接收到的权限等级,将网址信息在相应权限等级的网址信息库中进行比较匹配。
本实施例与实施例一类似的步骤操作过程类似,在此不再赘叙。
参照图3,示出了本发明一种企业内网访问控制方法实施例三的流程示意图,具体可以包括:
步骤P110,针对企业内网中由控制台监控的各终端,针对企业内网中由 控制台监控的各终端,终端浏览器拦截本身的网页请求;
步骤P120,将所述网址信息加密发送至控制台;所述控制台根据相应解密方式进行解密获得所述网址信息,所述控制台根据网址信息库判断所述网址信息是否被允许访问;
本实施例中,终端浏览器浏览器侧可将获取到的url并加密后发送到控制台;控制台根据相应的解密方式解密获取网址信息在进行根据网址信息库判断所述网址信息是否被禁止访问的步骤。
实际中本发明中还可将获取到的url做base64编码,再进行加密。然后在控制台进行解密和还原。
步骤P130,根据控制台返回的对所述网址信息的判断结果,确定停止对所述网页请求的拦截,允许所述网页请求访问相应网站,或者确定取消所述网页请求。
本实施例的加密可以判断是否是来自私有网址云的终端浏览器,避免发送的数据被伪造。
本实施例与实施例一类似的步骤操作过程类似,在此不再赘叙。
参照图4,示出了本发明一种企业内网访问控制系统实施例一的结构示意图,具体可以包括:
终端浏览器210和控制台220;
所述终端浏览器210包括:
网页请求拦截模块211,适于针对企业内网中由控制台监控的各终端,针对企业内网中由控制台监控的各终端,终端浏览器拦截本身的网页请求;
网址信息发送模块212,适于将网页请求对应的网址信息发送至控制台;
判断处理模块213,适于根据控制台返回的对所述网址信息的判断结果,确定是停止对所述网页请求的拦截,允许所述网页请求访问相应网站,或者确定取消所述网页请求;
所述控制台220包括:
比较判断模块221,适于根据网址信息库判断所述网址信息是否被禁止访问,并返回判断结果至终端浏览器。
可选的,所述网页请求拦截模块包括:
钩取模块,适于调用系统钩子函数钩取网页请求,获取所述网页请求中的网址信息。
可选的,所述网址信息发送模块还适于:
将用户标识发送至控制台;
则相应的,所述控制台还适于:
根据所述用户标识对应的个性化网址信息库,判断是否允许用户标识所在终端浏览器访问所述网址信息。
可选的,所述网址信息发送模块还包括:
加密模块,适于将所述网址信息加密;
则所述控制台还包括:
解密模块,适于根据相应解密方式进行解密获得所述网址信息。
可选的,所述控制台还适于:
控制台返回的对所述网址信息的判断结果为不允许时,同时返回待显示页面信息;
相应的所述终端浏览器还包括:
解析显示模块,适于浏览器解析所述待显示页面信息,并在当前页面显示所述页面信息。
参照图5,示出了本发明一种企业内网访问控制系统实施例二的结构示意图,具体可以包括:
终端浏览器S210和控制台S220;
所述终端浏览器S210包括:
网页请求拦截模块S211,适于针对企业内网中由控制台监控的各终端,终端浏览器拦截本身的网页请求;
第一网址信息发送模块S212,适于将网页请求对应的网址信息和用户标识发送至控制台;
判断处理模块S213,适于根据控制台返回的对所述网址信息的判断结果,确定是停止对所述网页请求的拦截,允许所述网页请求访问相应网站, 或者确定取消所述网页请求;
所述控制台S220包括:
第一比较判断模块S221,适于根据所述用户标识对应的个性化网址信息库,判断是否允许用户标识所在终端浏览器访问所述网址信息。
参照图6,示出了本发明一种企业内网访问控制系统实施例三的结构示意图,具体可以包括:
终端浏览器P210和控制台P220;
所述终端浏览器P210包括:
网页请求拦截模块P211,适于针对企业内网中由控制台监控的各终端,终端浏览器拦截本身的网页请求;
网址信息发送模块P212,包括:
加密模块P2121,适于将所述网址信息加密;
发送模块P2122,适于所述加密后的网址信息加密发送至控制台;
判断处理模块P213,适于根据控制台返回的对所述网址信息的判断结果,确定是停止对所述网页请求的拦截,允许所述网页请求访问相应网站,或者确定取消所述网页请求;
所述控制台P220包括:
解密模块P221,适于根据相应解密方式进行解密获得所述网址信息;
第二比较判断模块P222,适于根据网址信息库判断所述网址信息是否被禁止访问,并返回判断结果至终端浏览器。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中, 并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP) 来实现根据本发明实施例的一种企业内网访问控制设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为适于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。