CN103581144A - 基于icap协议的网络安全访问控制方法 - Google Patents
基于icap协议的网络安全访问控制方法 Download PDFInfo
- Publication number
- CN103581144A CN103581144A CN201210277119.4A CN201210277119A CN103581144A CN 103581144 A CN103581144 A CN 103581144A CN 201210277119 A CN201210277119 A CN 201210277119A CN 103581144 A CN103581144 A CN 103581144A
- Authority
- CN
- China
- Prior art keywords
- icap
- http
- client
- server
- response message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于ICAP协议的网络安全访问控制方法,该方法包括URL过滤控制和HTTP流量控制,所述的URL过滤控制为用户客户端向HTTP服务器发送HTTP请求时的安全控制,所述的HTTP流量控制为HTTP服务器向用户客户端发送HTTP应答消息时的安全控制,当ICAP服务器扫描出恶意流量时,ICAP服务器将通过ICAP客户端对网络访问进行阻拦。与现有技术相比,本发明具有实时性强、成本低、可扩展性强、策略种类多等优点。
Description
技术领域
本发明涉及一种网络访问的控制方法,尤其是涉及一种基于ICAP协议的网络安全访问控制方法。
背景技术
随着运营商网络规模不段扩容、用户增多,各种网站大量涌现,其中不乏各种恶意网站,诸如:钓鱼网站,色情网站,赌博网站等。如何实现让用户(诸如家长对孩子的网络访问控制)或者企业可以针对自身需求定制员工可以访问的WEB网址是未来的发展方向。同时黑客攻击,病毒及木马传播等不安全的内容充斥着互联网并愈演愈烈,给大型网络诸如运营商、IDC的网络设备的吞吐量以及安全性带来了考验。
出于上述需求,结合了运营商网络高压力的特点,传统部署安全类设备的方式主要包括将安全扫描设备以串接的方式部署到核心主干网中和将安全扫描设备以旁路的方式部署到核心主干网中,通常以“分光”的方式将设备部署在分光器的背后。以分光的模式去部署在分光器的背后的部署模式对流量控制的实时性较差,通常用户访问目的网址后设备才会显示出报告,不能在用户访问目的网址之前对用户的HTTP会话进行操作,例如:警告用户此HTTP会话存在风险、放行并记录HTTP会话或阻拦此会话。将安全扫描设备以串接的方式部署到核心主干网中的部署模式存在精准度低,漏判、误判情况较多,并且串接的部署模式对于设备的性能以及稳定性有着极高的要求等缺点。ICAP是设计用来传输特定的基于互联网的内容专用服务器协议,ICAP是Internet Content Adaptation Protocol的缩写,它在本质上是在HTTP信息上执行远程过程调用(RPC)的一种轻量级的协议。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种实时性强、成本低、可扩展性强的基于ICAP协议的网络安全访问控制方法。
本发明的目的可以通过以下技术方案来实现:
一种基于ICAP协议的网络安全访问控制方法,该方法包括URL过滤控制和HTTP流量控制,所述的URL过滤控制为用户客户端向HTTP服务器发送HTTP请求时的安全控制,包括以下步骤:
1)用户客户端发送HTTP请求到ICAP客户端;
2)ICAP客户端HTTP请求封装为基于ICAP Preview的ICAP请求并发送给ICAP服务器;
3)ICAP服务器对解封装ICAP请求,根据ICAP请求中的URL地址,向ICAP客户端发送相应的动作指令;
4)ICAP客户端根据接收到的动作指令向用户客户端发送返回信息,并将HTTP请求发送给HTTP服务器;
所述的HTTP流量控制为HTTP服务器向用户客户端发送HTTP应答消息时的安全控制,包括以下步骤:
11)HTTP服务器将HTTP应答消息发送给ICAP客户端;
12)ICAP客户端将HTTP应答消息的HTTP头和内容封装为ICAP应答信息,并发送到ICAP服务器;
13)ICAP服务器将ICAP应答信息解封装,对封装内部的HTTP应答信息进行扫描并将扫描结果发送到ICAP客户端;
14)ICAP客户端根据扫描结果将HTTP应答消息发送回用户客户端。
所述的步骤3)中的动作指令包括阻拦动作指令、警告动作指令和检测并记录动作指令。
所述的步骤4)中ICAP客户端根据接收到的动作指令向用户客户端发送返回信息具体为:
若动作指令为阻拦动作指令,则ICAP客户端将阻拦信息发送给用户客户端,用户客户端显示阻拦页面,返回步骤1);
若动作指令为警告动作指令,则ICAP客户端将警告信息发送给用户客户端,用户客户端显示警告页面,用户客户端向ICAP客户端发送确认信号后,ICAP客户端将HTTP请求发送给HTTP服务器;
若动作指令为检测并记录动作指令,则ICAP客户端直接将HTTP请求发送给HTTP服务器。
所述的步骤13)中ICAP服务器对封装内部的HTTP应答信息进行扫描后,若流量安全,则ICAP服务器将正常的HTTP应答信息封装为ICAP应答信息返回到ICAP客户端;若流量包含恶意内容,则ICAP服务器将阻拦页面和HTTP应答信息一起封装到ICAP应答信息中并发送给ICAP客户端。
与现有技术相比,本发明具有以下优点:
1)实时性强,基于传统分光技术的访问流量控制设备策略生效有滞后性,传统分光技术只能检测或分析网络中的流量,不能对流量进行有效的控制技术,本发明可以对流量执行阻拦或监控策略;
2)性能大幅提升,基于ICAP Preview模式的URL过滤技术使得ICAP服务器只接受HTTP头即可判断执行哪种策略,不用继续传输对于URL过滤及控制策略无用的HTTP内容部分,而传统检测设备要全部拿到HTTP内容后才可以决定执行哪种策略;
3)策略种类的多样性,传统控制设备的策略单一,而本发明的策略种类分为:放行并记录策略,警告策略,阻断策略;
4)部署成本低,传统分光技术需要多台设备构成的系统(分光器,光信号放大器等若干设备),本发明只需一台ICAP客户端即可;
5)维护成本低,通常维护一套分光检测系统需要若干人员,本发明需要的管理ICAP客户端设备的人员较少;
6)网络可扩展性强,如果网络中部署了基于分光技术的恶意流量监测方案之后,网络中的设备变更会变得困难,本发明无需考虑物理部署,只需将需要扫描的流量在ICAP客户端配置即可。
附图说明
图1为本发明URL过滤的数据流示意图;
图2为本发明流量控制的数据流示意图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
本发明的基于ICAP协议的网络安全访问控制方法,包括URL过滤控制和HTTP流量控制,如图1所示的URL过滤控制为用户客户端向HTTP服务器发送HTTP请求时的安全控制,包括以下步骤:
步骤101:用户客户端发送HTTP请求到ICAP客户端;
步骤102:ICAP客户端HTTP请求封装为基于ICAP Preview的ICAP请求并发送给ICAP服务器;
步骤103:ICAP服务器对解封装ICAP请求,根据ICAP请求中的URL地址,向ICAP客户端发送相应的动作指令,动作指令包括阻拦动作指令、警告动作指令和检测并记录动作指令;
步骤104:ICAP客户端根据接收到的动作指令向用户客户端发送返回信息,并将HTTP请求发送给HTTP服务器;
步骤105:HTTP服务器将HTTP应答消息发送给ICAP客户端;
步骤106:假设HTTP应答消息安全,则ICAP客户端直接将HTTP应答消息发送给用户客户端:
若动作指令为阻拦动作指令,则ICAP客户端将阻拦信息发送给用户客户端,用户客户端显示阻拦页面,返回步骤101);
若动作指令为警告动作指令,则ICAP客户端将警告信息发送给用户客户端,用户客户端显示警告页面,用户客户端向ICAP客户端发送确认信号后,ICAP客户端将HTTP请求发送给HTTP服务器;
若动作指令为检测并记录动作指令,则ICAP客户端直接将HTTP请求发送给HTTP服务器。
如图2所示的HTTP流量控制为HTTP服务器向用户客户端发送HTTP应答消息时的安全控制,包括以下步骤:
步骤201:用户客户端发送HTTP请求到ICAP客户端;
步骤202:假设HTTP请求中URL地址安全,则ICAP客户端直接将HTTP请求发送给HTTP服务器;
步骤203:HTTP服务器将HTTP应答消息发送给ICAP客户端;
步骤204:ICAP客户端将HTTP应答消息的HTTP头和内容封装为ICAP应答信息,并发送到ICAP服务器;
步骤205:ICAP服务器将ICAP应答信息解封装,对封装内部的HTTP应答信息进行扫描,若流量安全,则ICAP服务器将正常的HTTP应答信息封装为ICAP应答信息返回到ICAP客户端;若流量包含恶意内容,则ICAP服务器将阻拦页面和HTTP应答信息一起封装到ICAP应答信息中并发送给ICAP客户端;
步骤206:ICAP客户端根据扫描结果将HTTP应答消息发送回用户客户端。
本发明在的一般的用户客户端和HTTP服务器的链路中旁路连接了ICAP客户端和ICAP服务器,ICAP客户端将HTTP信息封装为ICAP信息,ICAP服务器实时的将扫描结果以ICAP信息交互给ICAP客户端,如果URL地址和流量扫描安全,那么放行HTTP会话,如果扫描出恶意流量,那么ICAP服务器将对该网络访问进行阻拦。
Claims (4)
1.一种基于ICAP协议的网络安全访问控制方法,其特征在于,该方法包括URL过滤控制和HTTP流量控制,所述的URL过滤控制为用户客户端向HTTP服务器发送HTTP请求时的安全控制,包括以下步骤:
1)用户客户端发送HTTP请求到ICAP客户端;
2)ICAP客户端HTTP请求封装为基于ICAP Preview的ICAP请求并发送给ICAP服务器;
3)ICAP服务器对解封装ICAP请求,根据ICAP请求中的URL地址,向ICAP客户端发送相应的动作指令;
4)ICAP客户端根据接收到的动作指令向用户客户端发送返回信息,并将HTTP请求发送给HTTP服务器;
所述的HTTP流量控制为HTTP服务器向用户客户端发送HTTP应答消息时的安全控制,包括以下步骤:
11)HTTP服务器将HTTP应答消息发送给ICAP客户端;
12)ICAP客户端将HTTP应答消息的HTTP头和内容封装为ICAP应答信息,并发送到ICAP服务器;
13)ICAP服务器将ICAP应答信息解封装,对封装内部的HTTP应答信息进行扫描并将扫描结果发送到ICAP客户端;
14)ICAP客户端根据扫描结果将HTTP应答消息发送回用户客户端。
2.根据权利要求1所述的一种基于ICAP协议的网络安全访问控制方法,其特征在于,所述的步骤3)中的动作指令包括阻拦动作指令、警告动作指令和检测并记录动作指令。
3.根据权利要求2所述的一种基于ICAP协议的网络安全访问控制方法,其特征在于,所述的步骤4)中ICAP客户端根据接收到的动作指令向用户客户端发送返回信息具体为:
若动作指令为阻拦动作指令,则ICAP客户端将阻拦信息发送给用户客户端,用户客户端显示阻拦页面,返回步骤1);
若动作指令为警告动作指令,则ICAP客户端将警告信息发送给用户客户端,用户客户端显示警告页面,用户客户端向ICAP客户端发送确认信号后,ICAP客户端将HTTP请求发送给HTTP服务器;
若动作指令为检测并记录动作指令,则ICAP客户端直接将HTTP请求发送给HTTP服务器。
4.根据权利要求1所述的一种基于ICAP协议的网络安全访问控制方法,其特征在于,所述的步骤13)中ICAP服务器对封装内部的HTTP应答信息进行扫描后,若流量安全,则ICAP服务器将正常的HTTP应答信息封装为ICAP应答信息返回到ICAP客户端;若流量包含恶意内容,则ICAP服务器将阻拦页面和HTTP应答信息一起封装到ICAP应答信息中并发送给ICAP客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210277119.4A CN103581144A (zh) | 2012-08-06 | 2012-08-06 | 基于icap协议的网络安全访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210277119.4A CN103581144A (zh) | 2012-08-06 | 2012-08-06 | 基于icap协议的网络安全访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103581144A true CN103581144A (zh) | 2014-02-12 |
Family
ID=50052079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210277119.4A Pending CN103581144A (zh) | 2012-08-06 | 2012-08-06 | 基于icap协议的网络安全访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103581144A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363288A (zh) * | 2014-11-18 | 2015-02-18 | 深圳市大成天下信息技术有限公司 | 一种文档管理系统和方法 |
| CN105488400A (zh) * | 2014-12-13 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种恶意网页综合检测方法及系统 |
| WO2017097027A1 (zh) * | 2015-12-08 | 2017-06-15 | 中兴通讯股份有限公司 | 基于因特网内容适配协议的数据处理方法、装置和系统 |
| CN107040606A (zh) * | 2017-05-10 | 2017-08-11 | 上海上讯信息技术股份有限公司 | 用于处理http请求的方法与设备 |
| CN108183885A (zh) * | 2017-12-06 | 2018-06-19 | 北京明朝万达科技股份有限公司 | 一种基于icap协议的数据防泄漏方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030191801A1 (en) * | 2002-03-19 | 2003-10-09 | Sanjoy Paul | Method and apparatus for enabling services in a cache-based network |
| CN1745379A (zh) * | 2003-01-28 | 2006-03-08 | 法国电信公司 | 提供自动网页内容翻译服务的方法与系统 |
| CN101035128A (zh) * | 2007-04-18 | 2007-09-12 | 大连理工大学 | 基于中文标点符号的三重网页文本内容识别及过滤方法 |
| CN101478575A (zh) * | 2009-01-22 | 2009-07-08 | 中兴通讯股份有限公司 | 基于互联网内容修改协议的wap网关开发系统及方法 |
| CN101958912A (zh) * | 2010-10-28 | 2011-01-26 | 华为技术有限公司 | 一种分类级别查询方法、系统和统一资源定位符服务器 |
-
2012
- 2012-08-06 CN CN201210277119.4A patent/CN103581144A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030191801A1 (en) * | 2002-03-19 | 2003-10-09 | Sanjoy Paul | Method and apparatus for enabling services in a cache-based network |
| CN1745379A (zh) * | 2003-01-28 | 2006-03-08 | 法国电信公司 | 提供自动网页内容翻译服务的方法与系统 |
| CN101035128A (zh) * | 2007-04-18 | 2007-09-12 | 大连理工大学 | 基于中文标点符号的三重网页文本内容识别及过滤方法 |
| CN101478575A (zh) * | 2009-01-22 | 2009-07-08 | 中兴通讯股份有限公司 | 基于互联网内容修改协议的wap网关开发系统及方法 |
| CN101958912A (zh) * | 2010-10-28 | 2011-01-26 | 华为技术有限公司 | 一种分类级别查询方法、系统和统一资源定位符服务器 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104363288A (zh) * | 2014-11-18 | 2015-02-18 | 深圳市大成天下信息技术有限公司 | 一种文档管理系统和方法 |
| CN105488400A (zh) * | 2014-12-13 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种恶意网页综合检测方法及系统 |
| WO2017097027A1 (zh) * | 2015-12-08 | 2017-06-15 | 中兴通讯股份有限公司 | 基于因特网内容适配协议的数据处理方法、装置和系统 |
| CN107040606A (zh) * | 2017-05-10 | 2017-08-11 | 上海上讯信息技术股份有限公司 | 用于处理http请求的方法与设备 |
| CN108183885A (zh) * | 2017-12-06 | 2018-06-19 | 北京明朝万达科技股份有限公司 | 一种基于icap协议的数据防泄漏方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103581144A (zh) | 基于icap协议的网络安全访问控制方法 | |
| CN102624729B (zh) | 一种web认证的方法、装置及系统 | |
| CN103391216B (zh) | 一种违规外联报警及阻断方法 | |
| EP3379511A1 (en) | Internet of things system used for intelligent gas meter and information transmission method for internet of things system | |
| CN103152378B (zh) | 一种网络数据的传输方法、系统和客户端 | |
| US9444821B2 (en) | Management server, communication cutoff device and information processing system | |
| CN101674285B (zh) | 一种单点登录系统及其方法 | |
| CN105871657B (zh) | 一种基于Android平台的网络数据监控系统和方法 | |
| CN108965296A (zh) | 一种用于智能家居设备的漏洞检测方法及检测装置 | |
| CN102647550A (zh) | 网络摄像机系统 | |
| US20060191004A1 (en) | Secured one-way interconnection system | |
| CN101945116A (zh) | 一种跨域视频数据安全交换方法 | |
| CN103905415A (zh) | 一种防范远控类木马病毒的方法及系统 | |
| CN109344609A (zh) | 一种tcu模块、tcu系统及保护方法 | |
| CN101252443A (zh) | 检测报文安全性的方法和装置 | |
| CN105791269A (zh) | 一种基于数据白名单的信息安全网关 | |
| CN106357683B (zh) | 一种媒体文件安全上传系统和方法 | |
| CN109165508A (zh) | 一种外部设备访问安全控制系统及其控制方法 | |
| CN103581338A (zh) | 一种污染源在线监控数据监听系统 | |
| JP2009044665A (ja) | 通信装置を制御するプログラム及び通信装置 | |
| US20140258528A1 (en) | System and method for managing attempted access of objectionable content and/or tampering with a content filtering device | |
| CN102694850A (zh) | 一种基于HttpClient技术的系统集成方法 | |
| CN102404114A (zh) | Web服务监控方法和系统 | |
| CN107395643B (zh) | 一种基于扫描探针行为的源ip保护方法 | |
| CN104396216A (zh) | 用于识别网络流量特征以关联和管理一个或多个后续流的方法及其装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140212 |
|
| RJ01 | Rejection of invention patent application after publication |