[发明专利]一种SSL VPN的内网WEB访问的安全控制方法

说明书

技术领域：

本发明涉及网络安全技术领域，具体涉及一种SSL VPN的内网WEB服务器访问的安全控制方法。

背景技术：

SSL VPN是指一种采用SSL(Security Socket Layer，安全套接层)协议来实现远程接入的一种新型VPN(Virtual Private Network，虚拟专用网络)技术。SSL协议是网景公司提出的基于WEB应用的安全协议，它包括：服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。对于内、外部应用来说，使用SSL可保证信息的真实性、完整性和保密性。目前SSL协议被广泛应用于各种浏览器应用，也可以应用于Outlook等使用TCP协议传输数据的C/S应用，而安装部署SSL VPN的优点主要在于：1、直接使用浏览器完成操作，无需安装独立的客户端，使用灵活方便；2、部署简单，无客户端，维护成本低，网络适应强；3、对用户访问控制权限控制严格，安全性高，同时对用户使用透明；因此，SSL VPN自身对于资源访问的控制尤其是对内网WEB服务的访问将决定SSL VPN产品是否成熟的一个重要标志。

目前，SSL VPN的主要功能之一是远程实现对内网WEB应用的访问控制，具体实现为：1、远程主机通过HTTPS访问与SSL VPN网关建立SSL连接，以加密方式在Internet上传送报文；2、SSL VPN网关终结了SSL连接，与内网的WEB服务器建立HTTP连接，以明文方式传送远程主机发送来的请求，并将服务器的应答通过SSL连接发给远程主机；而远程主机使用SSL VPN访问内网WEB资源，一般有两种访问方式，一种是一对一访问，即一个远程主机地址对应一个用户登录访问；一种是一对多访问方式，即一个远程主机地址对应多个用户登录访问，或者可以说是有多个用户使用了同一个nat规则、多个私有地址公用一个公网IP地址。

对于第一种访问方式的情况，SSL VPN对他的用户访问权限控制比较简单，只要检查他的IP地址就可知道其访问权限；而对于第二种情况，目前存在的问题是：没有一种合适的方法既能够区别使用同一个远程地址登录访问的多个不同用户，又能够检查出多个不同用户访问资源的合法性。

发明内容

本发明要提供一种SSL VPN的内网WEB服务器访问的安全控制方法，以克服现有技术存在的不能区别使用同一个远程地址登录访问的多个不同用户，也不能检查出多个不同用户访问资源的合法性的问题。

为实现上述目的，本发明采用的技术方案为：一种SSL VPN的内网WEB访问的安全控制方法，包括以下步骤：

(1)SSL VPN网关接收到远程主机访问内网WEB资源的请求；

(2)SSL VPN网关进行用户资源关联单元配置，包括：

资源配置单元配置资源列表；

用户配置单元配置用户列表；

用户资源关联单元配置访问控制规则，即资源与用户关联表；

(3)SSL VPN网关根据远程主机IP地址到在线用户列表进行检查，检查成功，进行步骤(4)，检查不成功，进行步骤(7)；

(4)SSL VPN网关根据远程主机用户名和用户randomID到用户与随机号对应列表进行检查，检查成功，进行步骤(5)，检查不成功，进行步骤(7)；

(5)SSL VPN网关根据远程主机用户名和资源ID号到资源与用户关联表进行检查，检查成功，进行步骤(6)，检查不成功，进行步骤(7)；

(6)SSL VPN网关授权该远程主机访问权允许访问；

(7)SSL VPN网关返回未授权网页提示用户以正确用户登录访问。

本发明提供的方法，基于SSL VPN进行用户访问WEB资源的访问控制权限管理，用于在远程主机访问内网WEB服务器时，授权的用户能够访问到的授权的WEB资源，而未授权的用户不能访问该WEB资源，以保证对远程主机访问的资源以及访问用户进行合法性检查，以最终向远端主机提供正确的网页信息，该方法不仅保证了配置的准确，其网络安全性显著提高，同时保证用户对资源访问权限的准确性和安全性。

附图说明：

图1为SSL VPN网关进行用户资源关联单元配置流程图；

图2为SSL VPN网关对远程主机访问权限检查单元的流程图；

具体实施方式：

下面将结合附图对本发明做详细地说明。