本发明专利技术涉及通信领域,公开了一种基于代理网关对http访问请求进行控制的方法,用以提高代理网关应用系统的安全性。该方法为:代理网关接收终端发送的用于建立TLS连接的https访问请求,代理网关根据预设的筛选策略,判断https访问请求携带的二元组控制参数是否合法,若是,则允许终端通过所述https访问请求建立TLS连接,否则拒绝终端通过所述https访问请求建立TLS连接。这样,便可以使用预设的二元组控制参数灵活地管理和控制用于建立TLS连接的https访问请求,有效地对非法TLS连接进行封堵,为代理网关运行系统提供了更为灵活的保护措施,提高了代理网关业务控制流程的安全性和灵活性。
【技术实现步骤摘要】
本专利技术涉及通信领域,特别涉及一种基于Https访问请求进行控制的方法及装置。
技术介绍
随着互联网技术的发展,用户对互联网提供规模更大,形式更丰富的服务的需求也在不断增长。目前,通常采用WAP(Wireless Application Protocol,无线应用协议)网关作为终端用户的上网代理,WAP网关最基本的功能是作为终端的代理服务器,代理终端访问WAP网站和互联网内容,提供基本的http代理服务和WAP1. X的协议转换功能。为了保护用户的私密数据,WAP网关提供了 https请求的加密数据访问通道,称为TLSCTransportLayer Security Protocol,安全传输层协议)隧道,用户通过TLS隧道两端的进行密钥协商,传输过程中以加密数据进行传输,使得用户重要数据得以保护。但https (指使用了 TLS加密的http服务)代理服务自身存在的缺陷,即HTTPCONNECT代理服务器是一种能够允许用户建立TCP连接到任何端口的代理服务器,这意味着这种代理不仅可用于http代理服务,还可以用于FTP、IRC、RM流服务等,甚至可以用于扫描、攻击,如,终端可以利用WAP网关对Https请求数据不能进行处理的缺陷,使用HTTPCONNECT代理对WAP网关重要系统进行扫描,攻击等。有鉴于此,需要设计一种新的方式,对发往WAP网站的TLS请求(即使用的TLS加密的https请求)进行控制,对部分非法的TLS请求及时进行封堵,以达到保护系统安全的目的。
技术实现思路
本专利技术实施例提供基于代理网关对https访问请求进行控制的方法及装置,用于提高代理网关应用系统的安全性。本专利技术实施例提供的具体技术方案如下基于代理网关对https访问请求进行控制的方法,包括代理网关接收终端发送的用于建立TLS连接的https访问请求,所述https访问请求中至少携带有二元组控制参数;代理网关根据预设的筛选策略,判断所述https访问请求携带的二元组控制参数是否合法,若是,则允许所述终端通过所述https访问请求建立TLS连接,否则拒绝所述终端通过所述https访问请求建立TLS连接。基于代理网关对https访问请求进行控制的装置,包括通信单元,用于接收终端发送的用于建立TLS连接的https访问请求,所述https访问请求中至少携带有二元组控制参数;控制单元,用于根据预设的筛选策略,判断所述https访问请求携带的二元组控制参数是否合法,若是,则允许所述终端通过所述https访问请求建立TLS连接,否则拒绝、所述终端通过所述https访问请求建立TLS连接。本专利技术实施例中,在代理网关中增设了 TLS访问控制功能,可以使用预设的二元组控制参数灵活地管理和控制用于建立TLS连接的https访问请求,从而有效地对非法TLS连接进行封堵,为代理网关运行系统提供了更为灵活的保护措施,提高了代理网关业务控制流程的安全性和灵活性。附图说明图I为本专利技术实施例中WAP网关应用系统体系架构不意图;图2为本专利技术实施例中WAP网关功能结构示意图;图3为本专利技术实施例中WAP网关对Https访问请求进行控制示意流程图;图4为本专利技术实施例中WAP网关对Https访问请求进行控制详细流程图。具体实施例方式为了实现代理网关对Https访问请求的控制,防止终端通过TLS隧道对代理网关进行非正常操作,从而提高代理网关应用系统的安全性,本专利技术实施例中,代理网关接收终端发送用于建立TLS连接的的https访问请求,该https访问请求中至少携带有二元组控制参数,代理网关根据预设的筛选策略,判断接收的https访问请求携带的二元组控制参数是否合法,若是,则允许终端通过该https访问请求建立TLS连接,否则,拒绝终端通过该https访问请求建立TLS连接。本专利技术实施例中,所谓的代理网关可以是WAP网关,也可以是WEB网关,而所谓的二元组控制参数可以包括终端请求访问的域名和端口号,也可以是终端请求访问的IP地址和端口号;端口号可以按照端口号号段配置。另一方面,本专利技术实施例中,为了令代理网关具有对https访问请求的控制功能,可以采用SP(SerVer Provide,服务提供)列表的形式记录代理网关使用的筛选策略,筛选策略可以设置为黑名单,也可以设置为白名单,两者任选其中,但不可同时使用,所谓的黑名单是指不允许采用SP列表中记录的二元组控制参数建立TLS连接,而所谓白名单是指仅允许使用SP列表中记录的二元组控制参数建立TLS连接;进一步地,SP列表中还可以设置有用于指示是否启动TLS连接控制功能的配置参数;当代理网关启动后,读取并加载预设的SP列表,以及按照SP列表的配置内容对终端发送的用于建立TLS连接的https访问请求进行相应控制。下面以代理网关是WAP网关为例,结合附图对本专利技术优选的实施方式进行详细说明。参阅图I所示,本专利技术实施例中,WAP网关应用系统中包括终端和WAP网关,其中,终端用于通过WAP网关向请求各种http应用服务,WAP网关用于对终端的http访问请求进行TLS访问控制,如图I所示,WAP网关应用系统中还包括SP Server,用于存储各类http服务资源,与通过WAP网关筛选的终端建立TLS连接,将通过该TLS连接向终端提供本地存储的http服务资源。若代理网关为WEB网关,则上述系统架构同样适用于WEB应用系统,在此不再赘述。参阅图2所示,本专利技术实施例中,7、WAP网关中设置有通信单元20和控制单元21,、其中,通信单元20,用于接收终端发送的用以建立TLS连接的https访问请求,该https访问请求中至少携带有二元组控制参数;控制单元,用于根据预设的筛选策略,判断接收的https访问请求携带的二元组控制参数是否合法,若是,则允许终端通过该https访问请求建立TLS连接,否则拒绝终端通过该https访问请求建立TLS连接。若代理网关为WEB网关,同样适用于上述WAP网关中设置的各种功能单元,在此不再赘述。参阅图3所示,本专利技术实施例,WAP网关对终端发送的https访问请求进行控制的示意流程如下步骤300 :WAP网关接收终端发送的用于建立TLS连接的https访问请求,该https访问请求中至少携带有二元组控制参数。本实施例中,为了安全起见,WAP网关支持radius服务(上线鉴权服务),即WAP网关在收到终端发送的https访问请求后,查询到该终端的MSISDN(如,手机号),并在确定该终端的MSISDN合法后,再执行步骤310。另一方面,WAP网关接收终端发送的https访问请求后,也可以根据SP列表中记录的配置参数,确定本地启动了 TLS访问控制功能时,再执行步骤310。步骤310 =WAP网关根据预设的筛选策略,判断接收的https访问请求携带的二元组控制参数是否合法,若是,则允许终端通过该https访问请求建立TLS连接,否则,拒绝终端通过该https访问请求建立TLS连接。本实施例中,WAP网关执行根据预设的筛选策略,判断接收的https访问请求携带的二元组控制参数是否合法时,执行以下操作若筛选策略设置为黑名单策略,则WAP网关判断https访问请求消息中携带的二元组控制参数是否记录在黑名单中,若是本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.基于代理网关对https访问请求进行控制的方法,其特征在于,包括 代理网关接收终端发送的用于建立安全传输层协议TLS连接的https访问请求,所述https访问请求中至少携带有ニ元组控制參数; 代理网关根据预设的筛选策略,判断所述https访问请求携帯的ニ元组控制參数是否合法,若是,则允许所述终端通过所述https访问请求建立TLS连接,否则拒绝所述终端通过所述https访问请求建立TLS连接。2.如权利要求I所述的方法,其特征在于,所述代理网关为WAP网关,或者,为WEB网关。3.如权利要求I所述的方法,其特征在于,所述ニ元组控制參数包括终端请求访问的域名和端口号,或者,終端请求访问的IP地址和端ロ号。4.如权利要求1、2或3所述的方法,其特征在于,所述代理网关接收终端发送的https访问请求后,确定本地启动了 TLS访问控制功能时,再根据预设的筛选策略,判断所述https访问请求携带的ニ元组控制參数是否合法。5.如权利要求1、2或3所述的方法,其特征在于,所述代理网关根据预设的筛选策略,判断所述https访问请求携带的ニ元组控制參数是否合法,包括 若所述筛选策略设置为黑名单策略,则所述代理网关判断所述ニ元组控制參数是否记录在黑名单中,若是,则确定所述ニ元组控制參数不合法,否则,确定所述所述ニ元组控制參数合法; 若所述筛选策略设置为白名单策略,则所述代理网关判断所述ニ元组控制參数是否记录在白名单中,若是,则确定所述ニ元组控制參数合法,否则,确定所述所述ニ元组控制參数不合法。6.如权利要求1、2或3所述的方法,其特征在于,所述代理网关允许所述終端通过所述https访问请求建立TLS连接,包括指示所述终端与相应的服务提供服务器建立TLS连接,并在建立TLS连接后,指示終端直接与所述服务提供服务器进行数据交互; 所述代理网关拒绝所述終端通过所述https访问请求建立TLS连接,包括所述代理网关向所述终端返回拒绝建立TLS连接的响应消息,并断开本地与所述终端的通信连接。7.基于代理网关对https访...
【专利技术属性】
技术研发人员:郭孟振,黄晓兵,海永军,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。