WO2012122773A1 - 基于代理网关对访问请求进行控制的方法及装置 - Google Patents

Abstract

本发明涉及通信领域，公开了一种基于代理网关对https访问请求进行控制的方法及装置，用以提高代理网关应用系统的安全性。其中方法为：代理网关接收终端发送的用于建立TLS连接的https访问请求，代理网关根据预设的筛选策略，判断https访问请求携带的二元组控制参数是否合法，若是，则允许终端通过所述https访问请求建立TLS连接，否则拒绝终端通过所述https访问请求建立TLS连接。这样，便可以使用预设的二元组控制参数灵活地管理和控制用于建立TLS连接的https访问请求，有效地对非法TLS连接进行封堵，为代理网关应用系统提供了更为灵活的保护措施，提高了代理网关业务控制流程的安全性和灵活性。

Description

基于代理网关对访问请求进行控制的方法及装置 技术领域 本发明涉及通信领域， 特别涉及一种基于代理网关对 https ( hypertext transfer protocol secure , 安全超文本传输协议 )访问请求进行控制的方法及 装置。 背景技术

随着互联网技术的发展， 用户对互联网提供规模更大， 形式更丰富的 服务的需求也在不断增长。 目前， 通常采用 WAP ( Wireless Application Protocol, 无线应用协议）网关作为终端用户的上网代理， WAP网关最基本 的功能是作为终端的代理网关， 代理终端访问 WAP网站和互联网内容， 提 供基本的 http ( hypertext transfer protocol, 超文本传输协议）代理服务和 WAPl.x的协议转换功能。为了保护用户的私密数据， WAP网关提供了 https 访问请求的力口密数据访问通道，称为 TLS( Transport Layer Security Protocol, 安全传输层协议） 隧道， 用户通过 TLS隧道两端进行密钥协商， 传输过程 中以加密数据进行传输， 使得用户重要数据得以保护。

但 https (指使用了 TLS加密的 http服务）代理服务自身存在的缺陷， 即：

包含 WAP网关的 HTTP CONNECT代理服务器是一种能够允许用户建 立 TCP连接到任何端口的代理网关， 这意味着这种代理不仅可用于 http代 理服务， 还可以用于 FTP ( File Transfer Protocol , 文件传输协议）、 IRC ( Internet Relay Chat, 互联网中继聊天）、 RM ( Real Media )流服务等， 甚 至可以用于扫描、 攻击， 如， 终端可以利用 WAP网关对 https访问请求数 据不能进行处理的缺陷， 使用 HTTP CONNECT代理服务器对 WAP网关重 要系统进行扫描、 攻击等。

有鉴于此， 需要设计一种新的方式，对发往 WAP网站的 TLS请求（即 使用 TLS加密的 https访问请求）进行控制， 对部分非法的 TLS请求及时 进行封堵， 以达到保护代理网关应用系统安全的目的。 发明内容

本发明实施例提供基于代理网关对 https访问请求进行控制的方法及装 置， 用于提高代理网关应用系统的安全性。

本发明实施例提供的具体技术方案如下：

一种基于代理网关对 https访问请求进行控制的方法， 包括：

代理网关接收终端发送的用于建立 TLS连接的 https访问请求， 所述 https访问请求中至少携带有二元组控制参数；

代理网关根据预设的筛选策略， 判断所述 https访问请求携带的二元组 控制参数是否合法，若是，则允许所述终端通过所述 https访问请求建立 TLS 连接， 否则拒绝所述终端通过所述 https访问请求建立 TLS连接。

其中， 所述代理网关为 WAP网关， 或者， 为 WEB网关。

所述二元组控制参数包括终端请求访问的域名和端口号， 或者， 终端 请求访问的 IP地址和端口号。

所述代理网关接收终端发送的 https访问请求后， 确定本地启动了 TLS 访问控制功能时， 再根据预设的筛选策略， 判断所述 https访问请求携带的 二元组控制参数是否合法。

所述代理网关根据预设的筛选策略， 判断所述 https访问请求携带的二 元组控制参数是否合法， 包括：

若所述筛选策略设置为黑名单策略， 则所述代理网关判断所述二元组 控制参数是否记录在黑名单中， 若记录在黑名单中， 则确定所述二元组控 制参数不合法， 若未记录在黑名单中， 则确定所述二元组控制参数合法； 若所述筛选策略设置为白名单策略， 则所述代理网关判断所述二元组 控制参数是否记录在白名单中， 若记录在白名单中， 则确定所述二元组控 制参数合法， 若未记录在白名单中， 则确定所述二元组控制参数不合法。

所述代理网关允许所述终端通过所述 https访问请求建立 TLS连接，包 括： 指示所述终端与相应的服务提供服务器建立 TLS连接， 并在建立 TLS 连接后， 指示终端直接与所述服务提供服务器进行数据交互；

所述代理网关拒绝所述终端通过所述 https访问请求建立 TLS连接，包 括： 所述代理网关向所述终端返回拒绝建立 TLS连接的响应消息， 并断开 本地与所述终端的通信连接。

一种基于代理网关对 https访问请求进行控制的装置， 包括：

通信单元，设置为接收终端发送的用于建立 TLS连接的 https访问请求， 所述 https访问请求中至少携带有二元组控制参数；

控制单元， 设置为根据预设的筛选策略， 判断所述 https访问请求携带 的二元组控制参数是否合法， 若合法， 则允许所述终端通过所述 https访问 请求建立 TLS连接， 若不合法， 则拒绝所述终端通过所述 https访问请求建 立 TLS连接。

其中， 所述装置为 WAP网关， 或者， 为 WEB网关。

所述通信单元接收到的二元组控制参数包括终端请求访问的域名和端 口号， 或者， 终端请求访问的 IP地址和端口号。

所述通信单元接收终端发送的 https访问请求后， 所述控制单元确定本 地启动了 TLS 访问控制功能时， 再根据预设的筛选策略， 判断所述 https 访问请求携带的二元组控制参数是否合法。

所述控制单元根据预设的筛选策略， 判断所述 https访问请求携带的二 元组控制参数是否合法， 包括：

若所述筛选策略设置为黑名单策略， 则所述控制单元判断所述二元组 控制参数是否记录在黑名单中， 若记录在黑名单中， 则确定所述二元组控 制参数不合法， 若未记录在黑名单中， 则确定所述二元组控制参数合法； 若所述筛选策略设置为白名单策略， 则所述控制单元判断所述二元组 控制参数是否记录在白名单中， 若记录在白名单中， 则确定所述二元组控 制参数合法， 若未记录在白名单中， 则确定所述二元组控制参数不合法。

所述控制单元允许所述终端通过所述 https访问请求建立 TLS连接，包 括： 通过所述通信单元指示所述终端与相应的服务提供服务器建立 TLS连 接， 并在建立 TLS连接后， 通过所述通信单元指示终端直接与所述服务提 供服务器进行数据交互；

所述控制单元拒绝所述终端通过所述 https访问请求建立 TLS连接，包 括： 通过所述通信单元向所述终端返回拒绝建立 TLS连接的响应消息， 并 断开本地与所述终端的通信连接。

本发明实施例中， 在代理网关中增设了 TLS访问控制功能， 可以使用 预设的二元组控制参数灵活地管理和控制用于建立 TLS连接的 https访问请 求， 从而有效地对非法 TLS连接进行封堵， 为代理网关应用系统提供了更 为灵活的保护措施， 提高了代理网关业务控制流程的安全性和灵活性。 附图说明

图 1为本发明实施例中 WAP网关应用系统体系架构示意图； 图 2为本发明实施例中 WAP网关功能结构示意图；

图 3为本发明实施例中 WAP网关对 https访问请求进行控制示意流程 示意图；

图 4为本发明实施例中 WAP网关对 https访问请求进行控制详细流程 示意图。 具体实施方式

为了实现代理网关对 https访问请求的控制，防止终端通过 TLS隧道对 代理网关进行非正常操作， 从而提高代理网关应用系统的安全性， 本发明 实施例中， 代理网关接收终端发送用于建立 TLS连接的 https访问请求， 该 https访问请求中至少携带有二元组控制参数， 代理网关根据预设的筛选策 略， 判断接收的 https访问请求携带的二元组控制参数是否合法， 若合法， 则允许终端通过该 https访问请求建立 TLS连接， 若不合法， 则拒绝终端通 过该 https访问请求建立 TLS连接。

本发明实施例中， 所谓的代理网关可以是 WAP网关， 也可以是 WEB 网关， 而所谓的二元组控制参数可以包括终端请求访问的域名和端口号， 也可以是终端请求访问的 IP地址和端口号； 端口号可以按照端口号号段配 置。

另一方面， 本发明实施例中， 为了令代理网关具有对 https访问请求的 控制功能， 可以采用 SP ( Server Provide, 服务提供） 列表的形式记录代理 网关使用的筛选策略， 筛选策略可以设置为黑名单， 也可以设置为白名单， 两者任选其一， 但不可同时使用， 所谓的黑名单是指： 不允许采用 SP列表 中记录的二元组控制参数建立 TLS连接， 而所谓白名单是指： 仅允许使用 SP列表中记录的二元组控制参数建立 TLS连接； 进一步地， SP列表中还 可以设置有用于指示是否启动 TLS连接控制功能的配置参数； 当代理网关 启动后， 读取并加载预设的 SP列表， 以及按照 SP列表的配置内容对终端 发送的用于建立 TLS连接的 https访问请求进行相应控制。

下面以代理网关是 WAP网关为例， 结合附图对本发明优选的实施方式 进行详细说明。

参阅图 1 所示， 本发明实施例中， WAP 网关应用系统中包括终端和 WAP网关， 其中， 终端用于通过 WAP网关请求各种 http应用服务， 具体 地， 向 WAP网关发送用以建立 TLS连接的 https访问请求， 该 https访问请 求中至少携带有二元组控制参数； WAP网关用于对终端的 https访问请求进 行 TLS访问控制， 具体地， 根据预设的筛选策略， 判断接收的 https访问请 求携带的二元组控制参数是否合法， 若合法， 则允许终端通过该 https访问 请求建立 TLS连接， 若不合法， 则拒绝终端通过该 https访问请求建立 TLS 连接， 如图 1所示， WAP网关应用系统中还包括 SP服务器（SP Server ), 用于存储各类 http服务资源， 与通过 WAP网关筛选的终端建立 TLS连接， 通过该 TLS连接向终端提供本地存储的 http服务资源。

若代理网关为 WEB网关， 则上述系统架构同样适用于 WEB网关应用 系统， 在此不再赘述。

参阅图 2所示，本发明实施例中， WAP网关中设置有通信单元 20和控 制单元 21 , 其中，

通信单元 20, 用于接收终端发送的用以建立 TLS连接的 https访问请 求， 该 https访问请求中至少携带有二元组控制参数；

控制单元 21 , 用于根据预设的筛选策略， 判断接收的 https访问请求携 带的二元组控制参数是否合法， 若合法， 则允许终端通过该 https访问请求 建立 TLS连接， 若不合法， 则拒绝终端通过该 https访问请求建立 TLS连 接。

控制单元 21允许终端通过该 https访问请求建立 TLS连接， 包括： 通 过通信单元 20指示终端与相应的服务提供服务器建立 TLS连接，并在建立 TLS连接后， 通过通信单元 20指示终端直接与所述服务提供服务器进行数 据交互；

控制单元 21拒绝终端通过该 https访问请求建立 TLS连接， 包括： 通 过通信单元 20向终端返回拒绝建立 TLS连接的响应消息，并断开本地与终 端的通信连接。 若代理网关为 WEB网关， 同样适用于上述 WAP网关中设置的各种功 能单元， 在此不再赘述。

参阅图 3所示，本发明实施例， WAP网关对终端发送的 https访问请求 进行控制的示意流程如下：

步驟 300: WAP网关接收终端发送的用于建立 TLS连接的 https访问请 求， 该 https访问请求中至少携带有二元组控制参数。

本实施例中， 为了安全起见， WAP网关支持 radius服务（上线鉴权服 务）， 即 WAP 网关在收到终端发送的 https访问请求后， 查询到该终端的 MSISDN(如手机号），并在确定该终端的 MSISDN合法后，再执行步驟 310。

另一方面， WAP 网关接收终端发送的 https访问请求后， 也可以根据

SP列表中记录的配置参数， 确定本地启动了 TLS访问控制功能时， 再执行 步驟 310。

步驟 310: WAP网关根据预设的筛选策略， 判断接收的 https访问请求 携带的二元组控制参数是否合法， 若合法， 则允许终端通过该 https访问请 求建立 TLS连接， 若不合法， 则拒绝终端通过该 https访问请求建立 TLS 连接。

本实施例中， WAP 网关执行根据预设的筛选策略， 判断接收的 https 访问请求携带的二元组控制参数是否合法时， 执行以下操作：

若筛选策略设置为黑名单策略， 则 WAP网关判断 https访问请求消息 中携带的二元组控制参数是否记录在黑名单中， 若是， 则确定该二元组控 制参数不合法， 否则， 确定该二元组控制参数合法；

若筛选策略设置为白名单策略， 则 WAP网关判断 https访问请求消息 中携带的二元组控制参数是否记录在白名单中， 若是， 则确定该二元组控 制参数合法， 否则， 确定该所述二元组控制参数不合法。

所述代理网关允许所述终端通过所述 https访问请求建立 TLS连接，包 括： 指示所述终端与相应的服务提供服务器、 如 SP Server建立 TLS连接， 并在建立 TLS连接后，指示终端直接与所述服务提供服务器进行数据交互； 所述代理网关拒绝所述终端通过所述 https访问请求建立 TLS连接，包 括： 所述代理网关向所述终端返回拒绝建立 TLS连接的响应消息， 并断开 本地与所述终端的通信连接。

基于上述实施例， 参阅图 4所示， 本发明实施例中， WAP网关对终端 发送的 https访问请求进行控制的详细流程如下：

步驟 400: WAP网关接收终端发送的 https访问请求。

步驟 410: WAP 网关判断接收的 https访问请求是否是请求建立 TLS 连接的请求消息， 若是， 则进行步驟 430; 否则， 进行步驟 420。

本实施例中， WAP网关可以根据 https访问请求中指定的标志位来确定 该 https访问请求是否用于请求建立 TLS连接。

步驟 420: WAP网关对所述 https访问请求进行业务访问控制。

步驟 430: WAP网关判断本地是否启用了 TLS访问控制功能， 若未启 用， 则进行步驟 480; 若已启用， 则进行步驟 440;

本实施例中， 启用 /关闭 TLS访问控制功能的按钮可以设置在操作界面 上， 管理人员可以根据实际需要， 启用 /关闭 TLS访问控制功能， 不需要重 启整个业务系统， 即时生效。

步驟 440: WAP网关判断本地配置的筛选策略为黑名单策略还是白名 单策略， 若是黑名单策略， 则执行步驟 450; 若是白名单策略， 则执行步驟 460。

步驟 450: WAP网关判断 https访问请求中携带的请求建立 TLS连接的 二元组控制参数是否记录在黑名单中，若记录在黑名单中，则执行步驟 470; 若未记录在黑名单中， 则执行步驟 480;

步驟 460; WAP网关判断 https访问请求中携带的请求建立 TLS连接的 二元组控制参数是否记录在白名单中，若记录在白名单中，则执行步驟 480; 若未记录在白名单中， 则执行步驟 470;

步驟 470; WAP网关拒绝终端通过 https访问请求建立 TLS连接，接着， 执行步驟 490。

WAP网关执行步驟 470时，可以进一步向终端返回拒绝建立 TLS连接 的响应消息， 并断开本地与终端之间的通信连接， 如 TCP ( Transmission Control Protocol, 传输控制协议）连接。

步驟 480: WAP网关允许终端通过 https访问请求建立 TLS连接，接着， 执行步驟 490。

执行步驟 480 时， WAP 网关指示终端与其请求建立 TLS 连接的 SP Server建立 TLS隧道（即 TLS连接）， 并在建立 TLS隧道后， 指示终端直 接与 SP Server通过 TLS隧道进行数据交互， 无需再经过 WAP网关；

步驟 490: WAP网关将 TLS访问控制流程的执行结果记录在日志文件 中。

在日志文件中， WAP网关会记录 TLP隧道的访问记录（也称为 https 访问内容）， 包含访问内容、 访问开始时间、 结束时间、 访问结果（如 TLS 隧道建立是否成功或被拒绝）等等信息， 用于后续管理操作。

当然， 对于 WEB网关， 上述实施例中记录的流程同样适用， 在此不再 赘述。

本发明实施例中， 上述 TLS连接兼容 SSL ( Secure Sockets Layer, 安 全套接层）相关协议， 因此， 同样适用于采用 SSL相关转文的网络环境， 在 it匕亦不再赞述。

本发明实施例中， 在代理网关中增设了 TLS访问控制功能， 可以使用 预设的二元组控制参数灵活地管理和控制用于建立 TLS连接的 https访问请 求， 从而有效地对非法 TLS连接进行封堵， 为代理网关应用系统提供了更 为灵活的保护措施， 提高了代理网关业务控制流程的安全性和灵活性。 进一步地， 整个 TLS访问控制流程不需要运营商参与， 并且对终端用 户透明， 对非法的 https访问请求可以直接拒绝， 从而保护了运营商的设备 和运行系统的安全， 并且不仅仅适应于 WAP网关应用系统， 其他所有应用 到 TLS访问的代理网关应用系统都可以使用本发明进行非法 TLS连接封 堵， 保护对应的系统， 从而提高了业务访问控制的灵活性， 为用户提供更 为安全的 http服务。

显然， 本领域的技术人员可以对本发明进行各种改动和变型而不脱离 本发明的精神和范围。 这样， 倘若本发明的这些修改和变型属于本发明权 利要求及其等同技术的范围之内， 则本发明也意图包含这些改动和变型在 内。

Claims

权利要求书

1、 一种基于代理网关对 https访问请求进行控制的方法， 包括： 代理网关接收终端发送的用于建立安全传输层协议 TLS连接的安全超 文本传输协议 https访问请求，所述 https访问请求中至少携带有二元组控制 参数；

代理网关根据预设的筛选策略， 判断所述 https访问请求携带的二元组 控制参数是否合法， 若合法， 则允许所述终端通过所述 https访问请求建立 TLS连接， 若不合法， 则拒绝所述终端通过所述 https访问请求建立 TLS连 接。

2、 如权利要求 1 所述的方法， 其中， 所述代理网关为无线应用协议

WAP网关， 或者， 为 WEB网关。

3、 如权利要求 1所述的方法， 其中， 所述二元组控制参数包括终端请 求访问的域名和端口号， 或者， 终端请求访问的 IP地址和端口号。

4、 如权利要求 1、 2或 3所述的方法， 其中， 所述代理网关接收终端 发送的 https访问请求后， 确定本地启动了 TLS访问控制功能时， 再根据预 设的筛选策略， 判断所述 https访问请求携带的二元组控制参数是否合法。

5、 如权利要求 1、 2或 3所述的方法， 其中， 所述代理网关根据预设 的筛选策略， 判断所述 https访问请求携带的二元组控制参数是否合法， 包 括：

若所述筛选策略设置为黑名单策略， 则所述代理网关判断所述二元组 控制参数是否记录在黑名单中， 若记录在黑名单中， 则确定所述二元组控 制参数不合法， 若未记录在黑名单中， 则确定所述二元组控制参数合法； 若所述筛选策略设置为白名单策略， 则所述代理网关判断所述二元组 控制参数是否记录在白名单中， 若记录在白名单中， 则确定所述二元组控 制参数合法， 若未记录在白名单中， 则确定所述二元组控制参数不合法。

6、 如权利要求 1、 2或 3所述的方法， 其中， 括： 指示所述终端与相应的服务提供服务器建立 TLS连接， 并在建立 TLS 连接后， 指示终端直接与所述服务提供服务器进行数据交互；

所述代理网关拒绝所述终端通过所述 https访问请求建立 TLS连接，包 括： 所述代理网关向所述终端返回拒绝建立 TLS连接的响应消息， 并断开 本地与所述终端的通信连接。

7、 一种基于代理网关对 https访问请求进行控制的装置， 包括： 通信单元，设置为接收终端发送的用于建立 TLS连接的 https访问请求， 所述 https访问请求中至少携带有二元组控制参数；

控制单元， 设置为根据预设的筛选策略， 判断所述 https访问请求携带 的二元组控制参数是否合法， 若合法， 则允许所述终端通过所述 https访问 请求建立 TLS连接， 若不合法， 则拒绝所述终端通过所述 https访问请求建 立 TLS连接。

8、 如权利要求 7所述的装置， 其中， 所述装置为 WAP网关， 或者， 为 WEB网关。

9、 如权利要求 7所述的装置， 其中， 所述通信单元接收到的二元组控 制参数包括终端请求访问的域名和端口号， 或者， 终端请求访问的 IP地址 和端口号。

10、 如权利要求 7、 8或 9所述的装置， 其中， 所述通信单元接收终端 发送的 https访问请求后，所述控制单元确定本地启动了 TLS访问控制功能 时， 再根据预设的筛选策略， 判断所述 https访问请求携带的二元组控制参 数是否合法。

11、 如权利要求 7、 8或 9所述的装置， 其中， 所述控制单元根据预设 的筛选策略， 判断所述 https访问请求携带的二元组控制参数是否合法， 包 括：

若所述筛选策略设置为黑名单策略， 则所述控制单元判断所述二元组 控制参数是否记录在黑名单中， 若记录在黑名单中， 则确定所述二元组控 制参数不合法， 若未记录在黑名单中， 则确定所述二元组控制参数合法； 若所述筛选策略设置为白名单策略， 则所述控制单元判断所述二元组 控制参数是否记录在白名单中， 若记录在白名单中， 则确定所述二元组控 制参数合法， 若未记录在白名单中， 则确定所述二元组控制参数不合法。

12、 如权利要求 7、 8或 9所述的装置， 其中，

所述控制单元允许所述终端通过所述 https访问请求建立 TLS连接，包 括： 通过所述通信单元指示所述终端与相应的服务提供服务器建立 TLS连 接， 并在建立 TLS连接后， 通过所述通信单元指示终端直接与所述服务提 供服务器进行数据交互；

所述控制单元拒绝所述终端通过所述 https访问请求建立 TLS连接，包 括： 通过所述通信单元向所述终端返回拒绝建立 TLS连接的响应消息， 并 断开本地与所述终端的通信连接。