2. 专利技术
  3. 基于HTTPS协议的URL过滤方法及安全设备、存储介质与流程

基于HTTPS协议的URL过滤方法及安全设备、存储介质与流程

专利2023-01-24  102

基于https协议的url过滤方法及安全设备、存储介质
技术领域
1.本技术涉及通讯设备技术领域,尤其涉及基于https协议的url过滤方法及安全设备、存储介质。


背景技术:

2.http(hypertext transfer protocol,超文本传输协议),用于传输超媒体文档的应用层协议,是为web浏览器与web服务器之间的通信而设计的。用于客户端和服务器端请求和应答。通过网页浏览器、网络爬虫或其它的工具,客户端发起一个http请求到服务器上指定端口。应答的服务器上存储着资源,如html(hyper text markup language,超文本标记语言)文件和图像。请求携带着url(uniform resource locator,统一资源定位符),是资源的唯一地址,服务器通过这个地址便可以找到资源应答请求。
3.https(hyper text transfer protocol over secure socket layer,以安全为目标的http通道)使用加密算法解决数据传输安全问题的方案。整个通信过程可以分为两大阶段:握手和数据传输阶段,数据传输阶段又可以分为非对称加密和对称加密两个阶段;对数据进行非对称加密或者对称加密是握手阶段协商的结果,此时传输的数据既是加密后的http数据。
4.发明人所知现有基于https协议进行url过滤,如图1所示,
5.(1)安全设备接受客户端发起建立ssl/tls连接请求。
6.(2)安全设备作为代理客户端向服务端发起建立ssl/tls连接请求。
7.(3)服务端向安全设备发送服务端证书。
8.(4)安全设备验证服务端的证书、协商协议加密算法等信息并完成握手,成功建立连接。
9.(5)安全设备作为代理服务器相应客户端请求,根据服务端证书内容解密证书签发代理服务器证书供客户端验证。
10.(6)客户端完成证书校验与作为代理服务器的安全设备完成握手,建立连接。
11.(7)客户端向服务端发送加密的报文。
12.(8)设备将客户端发来的报文解密,进行url过滤业务。
13.(9)url过滤处理后将放行的报文再次加密后发往服务端。
14.经过上述流程中建立代理后,后续所有的报文都要进行解密、安全业务、加密发送的处理。可见这一实现url过滤方案非常消耗性能且速度非常慢。


技术实现要素:

15.为了克服相关技术中存在的问题,本技术提供了基于https协议的url过滤方法及安全设备、存储介质。
16.本技术提供了基于https协议的url过滤方法,应用于安全设备,包括:
17.预设能访问或排除访问的url规则;
18.接收客户端发送的请求协议报文;
19.判断接收的请求协议报文是https还是http协议报文;
20.若是https协议报文,则提取并解析出所述协议报文的url中的域名;
21.判断解析出的域名是否在预设的url规则内;
22.根据判断结果决定放行或阻断客户端的访问请求。
23.进一步地,若判断是http协议报文,则直接判断协议报文明文的url是否在预设的url规则内;
24.根据判断结果决定放行或阻断客户端的访问请求。
25.优选的,不同内网的客户端连接不同的安全设备;
26.安全设备还预设有客户安全访问策略;
27.在判断接收的协议报文类型之前,基于客户端发送的协议报文判断客户安全访问策略;若在安全访问策略内,再判断协议报文的访问类型。
28.进一步地,不同内网中客户端的安全访问策略不同。
29.优选地,从https协议报文的扩展字段的sni字段中提取域名。
30.本技术还提供了基于https协议的url过滤系统,包括客户端、安全设备和服务器,
31.客户端,用于发起请求协议报文;
32.安全设备,用于预设能访问或排除访问的url规则;接收客户端发送的请求协议报文;判断接收的协议报文是https还是http协议报文;若是https协议报文,则提取并解析出所述协议报文的url中的域名;判断解析出的域名是否在预设的url规则内;根据判断结果决定放行或阻断客户端的访问请求;
33.服务器,用于回应协议报文,所述回应协议报文对应放行的客户端请求协议报文。
34.进一步地,安全设备,还用于若判断是http协议报文,则直接判断协议报文明文的url是否在预设的url规则内;根据判断结果决定放行或阻断客户端的访问请求。
35.优选的,安全设备,还用于预设客户安全访问策略,在不同内网的客户端连接不同的安全设备状态下,在判断接收的协议报文类型之前,基于客户端发送的协议报文判断客户的安全访问策略;若在安全访问策略内,再判断协议报文的访问类型。
36.优选的,不同内网中客户端的安全访问策略不同。
37.优选的,从https协议报文的扩展字段的sni字段中提取域名。
38.本技术还提供了安全设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行上述基于https协议的url过滤方法。
39.本技术最后还提供了存储介质,其上存储有计算机程序指令,程序指令被处理器执行时用于实现上述基于https协议的url过滤方法。
40.本技术实施例提供的技术方案可以包括以下有益效果:
41.本技术实施例不需要对https进行卸载,即可实现请求报文的传输,大大降低了性能消耗,且提高了数据传输速度。
42.应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本技术。
附图说明
43.此处的附图被并入申请中并构成本技术的一部分,示出了符合本技术的实施例,并与申请一起用于解释本技术的原理。
44.图1是基于https协议的url过滤现有技术逻辑框图;
45.图2是本技术一个实施例示意图;
46.图3是本技术第二个实施例示意图;
47.图4是本技术第三个实施例示意图;
48.图5是本技术安全设备逻辑框图。
具体实施方式
49.这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
50.本技术提供了基于https协议的url过滤方法,应用于安全设备的一个实施例,如图2所示。包括:
51.预设能访问或排除访问的url规则;
52.接收客户端发送的请求协议报文;
53.判断接收的请求协议报文是https还是http协议报文;
54.若是https协议报文,则提取并解析出所述协议报文的url中的域名;
55.判断解析出的域名是否在预设的url规则内;
56.根据判断结果决定放行或阻断客户端的访问请求。
57.作为一个优选实施例,如图3所示,若判断是http协议报文,则直接判断协议报文明文的url是否在预设的url规则内;
58.根据判断结果决定放行或阻断客户端的访问请求。
59.当然若判断是http协议报文时也可以采用其他处理方式,例如直接阻断等。
60.域名作为url的组成部分,可以用来做url过滤。本技术一个实施例中,在https协议报文的扩展字段的sni字段中提取域名。
61.由于不同客户的安全访问策略不同,因此本技术还提供了一实施例,在安全设备内预设有客户安全访问策略。不同内网的客户端连接不同的安全设备;在判断接收的协议报文类型之前,基于所述客户端发送的协议报文判断客户安全访问策略;若在客户安全访问策略内,再判断上述协议报文的访问类型是http还是https协议,如图4所示。当然预设客户安全访问策略不一定要图4的流程顺序,可以和预设url规则一起进行,图4对顺序不构成限制。
62.本技术还提供了基于https协议的url过滤系统,包括客户端、安全设备和服务器。
63.客户端,用于发起请求协议报文;
64.安全设备,用于预设能访问或排除访问的url规则;接收客户端发送的请求协议报文;判断接收的协议报文是https还是http协议报文;若是https协议报文,则提取并解析出所述协议报文的url中的域名;判断解析出的域名是否在预设的url规则内;根据判断结果
决定放行或阻断客户端的访问请求;
65.服务器,用于回应协议报文,所述回应协议报文对应放行的客户端请求协议报文。
66.上述实施例中,作为域名提取和解析的一个实施例,从https协议报文的扩展字段的sni字段中提取域名。当然可以不限于所举实施例。
67.作为又一实施例,本技术安全设备还用于若判断是http协议报文,则直接判断协议报文明文的url是否在预设的url规则内;根据判断结果决定放行或阻断客户端的访问请求。
68.作为又一实施例,本技术安全设备还用于预设客户安全访问策略,在不同内网的客户端连接不同的安全设备,不同内网中的客户端的安全访问策略不同。在判断接收的协议报文类型之前,基于客户端发送的协议报文判断客户的安全访问策略;若在安全访问策略内,判断协议报文的访问类型。
69.本技术以tcp协议来举例进行说明。
70.安全设备内预设能访问或排除访问的url规则
71.客户端向服务器通过tcp三次握手建立会话;
72.客户端向服务器发送https报文协议请求,包括向服务器发起明文的clienthello请求协议报文;(clienthello请求协议报文包含版本信息,加密套件候选列表,压缩算法候选列表,随机数,扩展字段等信息。)
73.clienthello请求协议报文到达安全设备,安全设备进行https协议类型确认,以及是其clienthello请求协议报文;
74.安全设备提取并解析扩展字段extensions中sni字段中的域名;
75.判断域名是否在预设的url规则内,根据判断结果决定放行或阻断客户端的访问请求;
76.若放行,则安全设备转发客户端发送的访问请求;
77.服务器回应访问请求报文。
78.若有多个内网对外网进行访问,每个内网中的客户端安全访问策略不同,则每个内网内的客户端连接一个对应的安全设备。各对应的安全设备内与设有相连接的内网中的客户端安全访问策略,以及预设有对应的url规则。
79.不同内网中的客户端发出请求协议报文后,对应的安全设备先进行安全访问策略检查,满足安全访问策略要求的再对请求协议报文进行类型判断,若是https协议报文,则对该协议报文的扩展字段的sni字段的域名进行提取和解析。判断域名是否在预设的url规则内,根据判断结果决定放行或阻断客户端的访问请求。
80.本技术还提供了安全设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行上述基于https协议的url过滤方法,如图5。
81.存储介质,其上存储有计算机程序指令,程序指令被处理器执行时用于实现上述基于https协议的url过滤方法。
82.本技术实施例最后还提供了存储介质,其上存储有计算机程序指令,程序指令被处理器执行时用于实现上述零信任网络下动态访问鉴权方法。
83.这里,存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,存储介质可以是:ram(radom access memory,随
机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
84.上述实施方式阐明的系统,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
85.本领域内的技术人员应明白,本公开的实施方式可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且,本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
86.本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
87.而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
88.这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
89.本领域技术人员应明白,本公开的实施方式可提供为方法、系统或计算机程序产品。因此,本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且,本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
90.应当理解的是,本技术并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本技术的范围仅由所附的权利要求来限制。
91.以上仅为本技术的较佳实施例而已,并不用以限制本技术,凡在本技术的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本技术保护的范围之内。

技术特征:
1.基于https协议的url过滤方法,应用于安全设备,其特征在于,包括:预设能访问或排除访问的url规则;接收客户端发送的请求协议报文;判断接收的请求协议报文是https还是http协议报文;若是https协议报文,则提取并解析出所述协议报文的url中的域名;判断解析出的域名是否在预设的url规则内;根据判断结果决定放行或阻断客户端的访问请求。2.根据权利要求1所述的基于https协议的url过滤方法,其特征在于,若判断是http协议报文,则直接判断协议报文明文的url是否在预设的url规则内;根据判断结果决定放行或阻断客户端的访问请求。3.根据权利要求1所述的基于https协议的url过滤方法,其特征在于,不同内网的客户端连接不同的安全设备;所述安全设备还预设有客户安全访问策略;在判断接收的协议报文类型之前,基于所述客户端发送的协议报文判断客户的安全访问策略;若在安全访问策略内,再判断协议报文的访问类型。4.根据权利要求3所述的基于https协议的url过滤方法,其特征在于,不同内网中客户端的安全访问策略不同。5.根据权利要求1所述的基于https协议的url过滤方法,其特征在于,从https协议报文的扩展字段的sni字段中提取域名。6.基于https协议的url过滤系统,包括客户端、安全设备和服务器,其特征在于,客户端,用于发起请求协议报文;安全设备,用于预设能访问或排除访问的url规则;接收客户端发送的请求协议报文;判断接收的协议报文是https还是http协议报文;若是https协议报文,则提取并解析出所述协议报文的url中的域名;判断解析出的域名是否在预设的url规则内;根据判断结果决定放行或阻断客户端的访问请求;服务器,用于回应协议报文,所述回应协议报文对应放行的客户端请求协议报文。7.根据权利要求6所述的基于https协议的url过滤系统,其特征在于,安全设备,还用于若判断是http协议报文,则直接判断协议报文明文的url是否在预设的url规则内;根据判断结果决定放行或阻断客户端的访问请求。8.根据权利要求6所述的基于https协议的url过滤系统,其特征在于,安全设备,还用于不同内网的客户端连接不同的安全设备;所述安全设备还预设有客户安全访问策略;在判断接收的协议报文类型之前,基于所述客户端发送的协议报文判断客户的安全访问策略;若在安全访问策略内,再判断协议报文的访问类型。9.根据权利要求8所述的基于https协议的url过滤系统,其特征在于,不同内网中客户端的安全访问策略不同。10.根据权利要求6所述的基于https协议的url过滤系统,其特征在于,从https协议报文的扩展字段的sni字段中提取域名。11.安全设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,处理器执行程序时执行权利要求1-5任意一项的基于https协议的url过滤
方法。12.存储介质,其上存储有计算机程序指令,其特征在于,程序指令被处理器执行时用于实现权利要求1-5任一项中的基于https协议的url过滤方法。

技术总结
本申请提供基于HTTPS协议的URL过滤方法及安全设备、存储介质。其中,基于HTTPS协议的URL过滤方法,应用于安全设备,包括预设能访问或排除访问的URL规则;接收客户端发送的请求协议报文;判断接收的请求协议报文是HTTPS还是HTTP协议报文;若是HTTPS协议报文,则提取并解析出协议报文的URL中的域名;判断解析出的域名是否在预设的URL规则内;根据判断结果决定放行或阻断客户端的访问请求。本申请不需要对HTTPS进行卸载,即可实现请求报文的传输,大大降低了性能消耗,且提高了数据传输速度。且提高了数据传输速度。且提高了数据传输速度。


技术研发人员:李冬越
受保护的技术使用者:新华三信息安全技术有限公司
技术研发日:2022.06.13
技术公布日:2022/11/1
转载请注明原文地址: https://tieba.8miu.com/read-451.html

专利

最新回复(0)