CN1738255A - 访问控制方法及安全代理服务器 - Google Patents
访问控制方法及安全代理服务器 Download PDFInfo
- Publication number
- CN1738255A CN1738255A CN 200410040472 CN200410040472A CN1738255A CN 1738255 A CN1738255 A CN 1738255A CN 200410040472 CN200410040472 CN 200410040472 CN 200410040472 A CN200410040472 A CN 200410040472A CN 1738255 A CN1738255 A CN 1738255A
- Authority
- CN
- China
- Prior art keywords
- access control
- visit
- control method
- server
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
访问控制方法,涉及计算机通信技术,特别涉及基于SSL协议的安全访问控制技术。本发明根据访问控制列表对来自代理客户端的访问作访问控制,所述访问控制列表中记载有用户身份标识模板——处理动作映射关系。本发明的有益效果是:在使用SSL协议进行安全防护的基础上提供了对所代理服务的访问控制功能;对代理范围内的所有应用系统可以提供统一的访问控制规划;可以通过对所申请证书中不同的主体DN灵活进行访问权限控制。
Description
技术领域
本发明涉及计算机通信技术,特别涉及基于SSL协议的安全访问控制技术。
背景技术
加密套接字协议层(SSL,Secure Sockets Layer)是一种由Netscape开发的的安全协议。当SSL会话开始后,Web服务器将公共密钥发送给浏览器,在服务器和浏览器之间进行协商,生成进行安全传输的加密环境。浏览器和服务器在会话期间,使用该安全环境进行数据交换,从而实现数据传输的机密性和完整性。
在基于SSL协议的应用代理中,在应用代理服务器和应用代理客户端之间使用了SSL/TLS协议来实现机密性和完整性的保护。即在应用代理客户端进行访问时,可以保证所代理的服务的机密性和完整性。但是在实际应用中,往往还需要实现对不同用户的访问控制,即哪些用户可以访问哪些服务,这些需求就已经超出了SSL协议的范围。
通常,这种访问是在应用服务系统中实现的,即应用系统本身提供一套自己的基于权限的访问控制机制,在用户使用该应用系统时通过该机制实现对用户的访问控制。
但是这种机制只是对某一个应用系统而言的,并不能针对网络中提供的所有服务进行统一的访问控制。
发明内容
本发明所要解决的技术问题是,提供一种基于数字证书中DN(Distinguished Name可识别名)元素的访问控制技术,能够实现在安全代理的同时,对网络中提供的所有服务的统一的访问控制。
本发明解决所述技术问题采用的技术方案是,提供一种访问控制方法,根据访问控制列表对来自代理客户端的访问作访问控制,所述访问控制列表中记载有用户身份标识模板——处理动作映射关系。
所述用户身份标识模板为代理客户端证书DN模板。通过证书主体DN与DN模板匹配的结果识别用户。当代理服务器接收到来自客户端的SSL连接时,代理服务器从客户端用户的数字证书中提取主体DN,并与所建立的访问控制列表进行匹配;如果能够匹配,则根据匹配结果处理该连接;如果不能匹配,则根据缺省的动作进行处理。所述处理动作包括:允许或拒绝既定种类的访问。所述处理动作包括:允许或拒绝对某既定地址的既定种类的访问。所述既定地址为既定提供服务的服务器地址,所述既定种类的访问包括HTTP、FTP、或TELNET、或用户自定义的基于TCP的服务种类。所述代理客户端为SSL代理客户端,所述代理服务器为SSL代理服务器。
上述“用户身份标识模板”可以为主体DN模板。在对特定的用户,或者说,对主体DN各项属性都得到指定的情况下,表现为主体DN,本文视为DN模板的一种形式。如具体实施方式中的list1。
本发明还提供一种带访问控制的安全代理服务器,包括SSL代理装置,还包括访问控制装置,所述访问控制装置包括:存储装置,存储有访问控制列表;处理装置,从客户端证书中提取主体DN并与存储装置中的访问控制列表进行匹配,根据匹配结果进行相应的处理。
本发明的有益效果是:
1、在使用SSL协议进行安全防护的基础上提供了对所代理服务的访问控制功能;
2、对代理范围内的所有应用系统可以提供统一的访问控制规划;
3、可以通过对所申请证书中不同的主体DN灵活进行访问权限控制。
以下结合说明书附图和具体实施方式对本发明作进一步的说明。
附图说明
图1是本发明具体实施方式中涉及的网络连接示意图。
图2是本发明具体实施方式的流程图。
图3本发明实施例1的网络连接图。
具体实施方式
参见图1和图2,本发明涉及基于SSL协议的代理服务器端和代理客户端。在SSL协议中同时使用服务器端及客户端证书验证,即在SSL代理服务器端使用SSL服务器证书,在SSL代理客户端使用SSL客户端证书,用户在使用时,需要使用SSL客户端证书进行登录,才能与SSL代理服务器连接。由于数字证书中使用主体DN来标识用户的名称,因此基于数字证书的访问控制也就是对主体DN中指明的用户进行访问控制。在SSL代理服务器端实现基于数字证书中主体DN元素的访问控制列表,每条控制列表可以包含若干条目,每一条目由需要匹配的DN模板及处理动作组成,即可以指定主体DN满足某一DN匹配模板的用户的访问权限,该访问权限可以指定为拒绝或者允许。所述DN模板由标准数字证书的主体DN信息抽取出来,是数字证书主体DN字段的组合,
本文所述的数字证书是指采用标准的X509 v3证书格式,在该证书格式中包含的信息字段主要有:证书版本号、证书序列号、证书颁发者、证书主体、证书有效期、公钥算法信息等。其中证书颁发者和证书主体都使用DN的方式表示,证书主体是证书的拥有者,而颁发者是指对该证书进行颁发的CA。我们所作的访问控制就是针对证书的拥有者即证书主体进行控制,因此我们使用主体DN作为我们控制的对象。
DN由一系列的相对可识别名(RDN,Relative DistinguishedName)组成,RDN通常包括CN、OU、O、L、ST及C(CN、OU、O、L、ST、C用于标注对象的属性)。我们即以这六项为DN匹配模板的基本元素建立访问控制列表(ACL),当SSL服务器接收到来自客户端的SSL连接时,服务器从客户端用户的数字证书中提取出该用户的DN,并与所建立的ACL进行匹配,如果匹配上,则根据所匹配的ACL条目的动作是允许还是拒绝来确定对该连接的处理,如果匹配不上,则根据缺省的ACL动作进行处理。
具体的说,实施步骤如下:
1、在SSL代理服务器中设置对“HTTP服务”、“FTP服务”及“其它服务”的代理。
2、SSL代理服务器实现为要求对客户端证书进行验证。
3、在SSL代理服务器端建立所需要的访问控制列表。
4、当从SSL代理客户端发来对某一服务的请求时,SSL服务器端根据所定义的访问控制列表及从客户端证书中提取出来的用户DN进行比较,并且根据访问控制列表所指定的动作进行下一步操作。
以下为更具体的实施例,如图3。
在被保护内网与外网之间,布署代理服务器,其外网接口地址为202.115.72.23,内部网接口地址192.168.0.1;代理服务器代理某公司内部网络中的三台不同应用服务器,即HTTP服务器、FTP服务器及其它服务器(如mis系统等)。
各服务器所对应的IP地址如下:
192.168.0.23——MIS
192.168.0.25——FTP
192.168.0.27——HTTP
对这三种不同类型的应用的访问权限假设为:
1、公司所有的员工都可以访问HTTP服务器;
2、除公司研究院员工外其它部门的员工都可以访问FTP服务器;
3、只有人力资源部的甲和乙可以访问公司的MIS系统。
针对以上的访问权限控制,我们在代理服务器上配置以下访问控制列表:
在证书管理系统对员工进行证书颁发时,作以下定义:公司名称定义为:mp;研究院部门名称定义为:R&D;人力资源部门名称定义为:PR。
list 1
cn=甲,ou=PR,o=mp,c=cn:permit
cn=乙,ou=PR,o=mp,c=cn:permit
list 2
cn=any,ou=any,o=mp,c=cn:permit
list 3
cn=any,ou=R&D,o=mp,c=cn:deny
解释如下:
list 1:
“cn=甲,ou=PR,o=mp,c=cn”为DN匹配模板,“permit”为对应的处理动作。
若主体DN和“cn=甲,ou=PR,o=mp”匹配,则实施处理动作“允许”;
若主体DN和“cn=乙,ou=PR,o=mp”匹配,则实施处理动作“允许”;
list 2:
若主体DN和“o=mp”匹配,则实施处理动作允许;
list 3:
若主体DN和“ou=R&D,o=mp”匹配,则实施处理动作“拒绝”。
上述list2和list3中含有“cn=any”,表示cn任意。
将以上所定义的访问控制列表应用到所代理的应用服务上,即可实现对不同服务的访问控制。如下所示:
proxy http 192.168.0.27:80 list 2
proxy ftp 192.168.0.25:21 list 3
proxy mis 192.168.0.23:8888 list 1
解释如下:
对192.168.0.27服务器的http访问应用列表2;
对192.168.0.25服务器的ftp访问应用列表3;
对192.168.0.27服务器的mis访问应用列表1。
Claims (8)
1、访问控制方法,其特征在于,根据访问控制列表对来自代理客户端的访问作访问控制,所述访问控制列表中记载有用户身份标识模板——处理动作映射关系。
2、如权利要求1所述的访问控制方法,其特征在于,所述用户身份标识模板为代理客户端证书DN模板。
3、如权利要求2所述的访问控制方法,其特征在于,当代理服务器接收到来自客户端的SSL连接时,代理服务器从客户端用户的数字证书中提取主体DN,并与所建立的访问控制列表进行匹配;如果能够匹配,则根据匹配结果处理该连接;如果不能匹配,则根据缺省的动作进行处理。
4、如权利要求2所述的访问控制方法,其特征在于,所述处理动作包括:允许或拒绝既定种类的访问。
5、如权利要求2所述的访问控制方法,其特征在于,所述处理动作包括:允许或拒绝对某既定地址的既定种类的访问。
6、如权利要求5所述的访问控制方法,其特征在于,所述既定地址为既定提供服务的服务器地址,所述既定种类的访问包括HTTP、FTP、TELNET或用户自定义的基于TCP的服务种类。
7、如权利要求1-5所述的访问控制方法,其特征在于,所述代理客户端为SSL代理客户端,所述代理服务器为SSL代理服务器。
8、安全代理服务器,包括SSL代理装置,其特征在于,还包括访问控制装置,所述访问控制装置包括:
存储装置,存储有访问控制列表;
处理装置,从客户端证书中提取DN并与存储装置中的访问控制列表进行匹配,根据匹配结果进行相应的处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100404726A CN100361443C (zh) | 2004-08-17 | 2004-08-17 | 访问控制方法及安全代理服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100404726A CN100361443C (zh) | 2004-08-17 | 2004-08-17 | 访问控制方法及安全代理服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1738255A true CN1738255A (zh) | 2006-02-22 |
| CN100361443C CN100361443C (zh) | 2008-01-09 |
Family
ID=36080923
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100404726A Active CN100361443C (zh) | 2004-08-17 | 2004-08-17 | 访问控制方法及安全代理服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100361443C (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242336B (zh) * | 2008-03-13 | 2010-12-01 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
| CN101187965B (zh) * | 2006-11-16 | 2010-12-15 | 思科技术公司 | 用于过滤对数据对象的访问的方法和装置 |
| CN101043319B (zh) * | 2006-03-22 | 2011-02-02 | 鸿富锦精密工业(深圳)有限公司 | 数字内容保护系统及方法 |
| CN101192888B (zh) * | 2006-11-21 | 2012-01-11 | 中兴通讯股份有限公司 | 控制gpon终端业务的方法 |
| CN101431516B (zh) * | 2008-12-04 | 2012-04-25 | 成都市华为赛门铁克科技有限公司 | 分布式安全策略的实现方法、客户端及通信系统 |
| CN103188254A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种兼顾内外网信息通畅性和安全性的网络安全保护方法 |
| CN103795568A (zh) * | 2014-01-23 | 2014-05-14 | 上海斐讯数据通信技术有限公司 | 一种基于设备管理访问方式控制设备访问的方法 |
| CN101127108B (zh) * | 2006-08-15 | 2014-11-05 | 阿里巴巴集团控股有限公司 | 一种经一个计算机系统访问一个信息源的方法 |
| CN105635187A (zh) * | 2016-03-30 | 2016-06-01 | 北京奎牛科技有限公司 | 带印模的电子文件的生成方法与装置、认证方法与装置 |
| CN107426339A (zh) * | 2017-09-04 | 2017-12-01 | 珠海迈越信息技术有限公司 | 一种数据连接通道的接入方法、装置及系统 |
| CN111800402A (zh) * | 2020-06-28 | 2020-10-20 | 格尔软件股份有限公司 | 一种利用事件证书实现全链路加密代理的方法 |
| CN111866091A (zh) * | 2020-06-30 | 2020-10-30 | 海尔优家智能科技(北京)有限公司 | 用于云平台信息交互的方法及装置、服务器、系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101883106A (zh) * | 2010-06-30 | 2010-11-10 | 赛尔网络有限公司 | 基于数字证书的网络接入认证方法和网络接入认证服务器 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1178058A (zh) * | 1995-02-07 | 1998-04-01 | 英国电讯有限公司 | 信息服务供应与管理 |
| US5696898A (en) * | 1995-06-06 | 1997-12-09 | Lucent Technologies Inc. | System and method for database access control |
| US6484258B1 (en) * | 1998-08-12 | 2002-11-19 | Kyber Pass Corporation | Access control using attributes contained within public key certificates |
| CN1228943C (zh) * | 2001-11-22 | 2005-11-23 | 中兴通讯股份有限公司 | 一种以太网宽带接入系统的用户认证管理方法 |
-
2004
- 2004-08-17 CN CNB2004100404726A patent/CN100361443C/zh active Active
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101043319B (zh) * | 2006-03-22 | 2011-02-02 | 鸿富锦精密工业(深圳)有限公司 | 数字内容保护系统及方法 |
| CN101127108B (zh) * | 2006-08-15 | 2014-11-05 | 阿里巴巴集团控股有限公司 | 一种经一个计算机系统访问一个信息源的方法 |
| CN101187965B (zh) * | 2006-11-16 | 2010-12-15 | 思科技术公司 | 用于过滤对数据对象的访问的方法和装置 |
| CN101192888B (zh) * | 2006-11-21 | 2012-01-11 | 中兴通讯股份有限公司 | 控制gpon终端业务的方法 |
| CN101242336B (zh) * | 2008-03-13 | 2010-12-01 | 杭州华三通信技术有限公司 | 远程访问内网Web服务器的方法及Web代理服务器 |
| CN101431516B (zh) * | 2008-12-04 | 2012-04-25 | 成都市华为赛门铁克科技有限公司 | 分布式安全策略的实现方法、客户端及通信系统 |
| CN103188254A (zh) * | 2011-12-31 | 2013-07-03 | 北京市国路安信息技术有限公司 | 一种兼顾内外网信息通畅性和安全性的网络安全保护方法 |
| CN103795568A (zh) * | 2014-01-23 | 2014-05-14 | 上海斐讯数据通信技术有限公司 | 一种基于设备管理访问方式控制设备访问的方法 |
| CN105635187A (zh) * | 2016-03-30 | 2016-06-01 | 北京奎牛科技有限公司 | 带印模的电子文件的生成方法与装置、认证方法与装置 |
| CN107426339A (zh) * | 2017-09-04 | 2017-12-01 | 珠海迈越信息技术有限公司 | 一种数据连接通道的接入方法、装置及系统 |
| CN107426339B (zh) * | 2017-09-04 | 2020-05-26 | 珠海迈越信息技术有限公司 | 一种数据连接通道的接入方法、装置及系统 |
| CN111800402A (zh) * | 2020-06-28 | 2020-10-20 | 格尔软件股份有限公司 | 一种利用事件证书实现全链路加密代理的方法 |
| CN111800402B (zh) * | 2020-06-28 | 2022-08-09 | 格尔软件股份有限公司 | 一种利用事件证书实现全链路加密代理的方法 |
| CN111866091A (zh) * | 2020-06-30 | 2020-10-30 | 海尔优家智能科技(北京)有限公司 | 用于云平台信息交互的方法及装置、服务器、系统 |
| CN111866091B (zh) * | 2020-06-30 | 2023-10-31 | 海尔优家智能科技(北京)有限公司 | 用于云平台信息交互的方法及装置、服务器、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100361443C (zh) | 2008-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1300722C (zh) | 用名称空间和策略来调整信任关系的方法和系统 | |
| US7437550B2 (en) | System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data | |
| CN1224213C (zh) | 发放电子身份证明的方法 | |
| CN1738255A (zh) | 访问控制方法及安全代理服务器 | |
| CN1787513A (zh) | 安全远程访问系统和方法 | |
| CN101034981A (zh) | 一种网络访问控制系统及其控制方法 | |
| CN106254324A (zh) | 一种存储文件的加密方法及装置 | |
| CN101034983A (zh) | 一种对网络接入用户实现上网实名的系统及其方法 | |
| CN1881879A (zh) | 用于验证用户的公钥框架和方法 | |
| CN1516833A (zh) | 由半可信赖服务器提供内容服务的方法和装置 | |
| CN101473628A (zh) | 用于加速计算环境到远程用户的传送的系统和方法 | |
| CN1592191A (zh) | 用于对目标系统进行授权远程访问的装置、系统和方法 | |
| CN1631001A (zh) | 利用批量设备的身份凭证创建安全网络的系统和方法 | |
| CN1960255A (zh) | 分布式多级安全访问控制方法 | |
| CN101035135A (zh) | 适用于无/弱本地存储客户端系统的数字证书系统 | |
| CN1930850A (zh) | 对自服务客户向服务提供者发送的服务请求进行认证和授权的设备、计算机可读存储器和方法 | |
| US20120047561A1 (en) | Securing resource stores with claims-based security | |
| WO2017210563A1 (en) | System and method for securely storing and sharing information | |
| CN1157664C (zh) | 具有mime数据类型过滤技术的ssl代理方法 | |
| CN1291313A (zh) | 可用指纹远程访问的私有空间 | |
| CN1820264A (zh) | 名称解析的系统和方法 | |
| JP2004062417A (ja) | 認証サーバ装置、サーバ装置、およびゲートウェイ装置 | |
| CN113037736B (zh) | 一种认证鉴权方法、装置、系统及计算机存储介质 | |
| CN1194498C (zh) | 基于数字标签的内容安全监控系统及方法 | |
| Spinellis et al. | Trusted third party services for deploying secure telemedical applications over the WWW |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: MAIPU COMMUNICATION TECHNOLOGY CO., LTD. Free format text: FORMER NAME: MAIPU (SICHUAN) COMMUNICATION TECHNOLOGY CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: Sichuan city of Chengdu province high tech Zone nine Hing Road No. 16 building, Maipu Patentee after: Maipu Communication Technologies Co., Ltd. Address before: Sichuan city of Chengdu province high tech Zone nine Hing Road No. 16 building, Maipu Patentee before: Maipu (Sichuan) Communication Technology Co., Ltd. |