技術(shù)領(lǐng)域

本發(fā)明涉及通信領(lǐng)域，特別涉及一種基于Https訪問請求進(jìn)行控制的方法及裝置。

背景技術(shù)

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，用戶對互聯(lián)網(wǎng)提供規(guī)模更大，形式更豐富的服務(wù)的需求也在不斷增長。目前，通常采用WAP(Wireless?Application?Protocol，無線應(yīng)用協(xié)議)網(wǎng)關(guān)作為終端用戶的上網(wǎng)代理，WAP網(wǎng)關(guān)最基本的功能是作為終端的代理服務(wù)器，代理終端訪問WAP網(wǎng)站和互聯(lián)網(wǎng)內(nèi)容，提供基本的http代理服務(wù)和WAP1.x的協(xié)議轉(zhuǎn)換功能。為了保護(hù)用戶的私密數(shù)據(jù)，WAP網(wǎng)關(guān)提供了https請求的加密數(shù)據(jù)訪問通道，稱為TLS(Transport?Layer?Security?Protocol，安全傳輸層協(xié)議)隧道，用戶通過TLS隧道兩端的進(jìn)行密鑰協(xié)商，傳輸過程中以加密數(shù)據(jù)進(jìn)行傳輸，使得用戶重要數(shù)據(jù)得以保護(hù)。

但https(指使用了TLS加密的http服務(wù))代理服務(wù)自身存在的缺陷，即HTTP?CONNECT代理服務(wù)器是一種能夠允許用戶建立TCP連接到任何端口的代理服務(wù)器，這意味著這種代理不僅可用于http代理服務(wù)，還可以用于FTP、IRC、RM流服務(wù)等，甚至可以用于掃描、攻擊，如，終端可以利用WAP網(wǎng)關(guān)對Https請求數(shù)據(jù)不能進(jìn)行處理的缺陷，使用HTTP?CONNECT代理對WAP網(wǎng)關(guān)重要系統(tǒng)進(jìn)行掃描，攻擊等。

有鑒于此，需要設(shè)計(jì)一種新的方式，對發(fā)往WAP網(wǎng)站的TLS請求(即使用的TLS加密的https請求)進(jìn)行控制，對部分非法的TLS請求及時(shí)進(jìn)行封堵，以達(dá)到保護(hù)系統(tǒng)安全的目的。

發(fā)明內(nèi)容

本發(fā)明實(shí)施例提供基于代理網(wǎng)關(guān)對https訪問請求進(jìn)行控制的方法及裝置，用于提高代理網(wǎng)關(guān)應(yīng)用系統(tǒng)的安全性。

本發(fā)明實(shí)施例提供的具體技術(shù)方案如下：

基于代理網(wǎng)關(guān)對https訪問請求進(jìn)行控制的方法，包括：

代理網(wǎng)關(guān)接收終端發(fā)送的用于建立TLS連接的https訪問請求，所述https訪問請求中至少攜帶有二元組控制參數(shù)；

代理網(wǎng)關(guān)根據(jù)預(yù)設(shè)的篩選策略，判斷所述https訪問請求攜帶的二元組控制參數(shù)是否合法，若是，則允許所述終端通過所述https訪問請求建立TLS連接，否則拒絕所述終端通過所述https訪問請求建立TLS連接。

基于代理網(wǎng)關(guān)對https訪問請求進(jìn)行控制的裝置，包括：

通信單元，用于接收終端發(fā)送的用于建立TLS連接的https訪問請求，所述https訪問請求中至少攜帶有二元組控制參數(shù)；

控制單元，用于根據(jù)預(yù)設(shè)的篩選策略，判斷所述https訪問請求攜帶的二元組控制參數(shù)是否合法，若是，則允許所述終端通過所述https訪問請求建立TLS連接，否則拒絕所述終端通過所述https訪問請求建立TLS連接。

本發(fā)明實(shí)施例中，在代理網(wǎng)關(guān)中增設(shè)了TLS訪問控制功能，可以使用預(yù)設(shè)的二元組控制參數(shù)靈活地管理和控制用于建立TLS連接的https訪問請求，從而有效地對非法TLS連接進(jìn)行封堵，為代理網(wǎng)關(guān)運(yùn)行系統(tǒng)提供了更為靈活的保護(hù)措施，提高了代理網(wǎng)關(guān)業(yè)務(wù)控制流程的安全性和靈活性。

附圖說明

圖1為本發(fā)明實(shí)施例中WAP網(wǎng)關(guān)應(yīng)用系統(tǒng)體系架構(gòu)示意圖；

圖2為本發(fā)明實(shí)施例中WAP網(wǎng)關(guān)功能結(jié)構(gòu)示意圖；

圖3為本發(fā)明實(shí)施例中WAP網(wǎng)關(guān)對Https訪問請求進(jìn)行控制示意流程圖；

圖4為本發(fā)明實(shí)施例中WAP網(wǎng)關(guān)對Https訪問請求進(jìn)行控制詳細(xì)流程圖。

具體實(shí)施方式

為了實(shí)現(xiàn)代理網(wǎng)關(guān)對Https訪問請求的控制，防止終端通過TLS隧道對代理網(wǎng)關(guān)進(jìn)行非正常操作，從而提高代理網(wǎng)關(guān)應(yīng)用系統(tǒng)的安全性，本發(fā)明實(shí)施例中，代理網(wǎng)關(guān)接收終端發(fā)送用于建立TLS連接的的https訪問請求，該https訪問請求中至少攜帶有二元組控制參數(shù)，代理網(wǎng)關(guān)根據(jù)預(yù)設(shè)的篩選策略，判斷接收的https訪問請求攜帶的二元組控制參數(shù)是否合法，若是，則允許終端通過該https訪問請求建立TLS連接，否則，拒絕終端通過該https訪問請求建立TLS連接。

本發(fā)明實(shí)施例中，所謂的代理網(wǎng)關(guān)可以是WAP網(wǎng)關(guān)，也可以是WEB網(wǎng)關(guān)，而所謂的二元組控制參數(shù)可以包括終端請求訪問的域名和端口號，也可以是終端請求訪問的IP地址和端口號；端口號可以按照端口號號段配置。