[发明专利]一种网络资源访问控制方法、装置及相关设备

说明书

技术领域

本发明涉及网络信息安全技术领域，尤其涉及一种网络资源访问控制方法、装置及相关设备。

背景技术

虚拟专用网络(VPN，Virtual Private Network)被定义为通过公用网络(可以为因特网)建立临时的、安全的连接，是一条穿过公用网络的安全、稳定隧道。VPN可以帮助远程用户、公司分支结构等同公司的内部网建立可见的安全连接。安全套接层(SSL，Secure Sockets Layer)是一套因特网数据安全协议，被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间，通过加密方法保护在因特网上传输的数据安全性。

SSL VPN是一种采用SSL加密连接实现远程访问的VPN技术。SSL VPN的功能如图1所示。其中，远程主机与SSL VPN网关终结了SSL连接，SSL VPN网关通过与内网服务器(服务器1、服务器2......服务器N)建立传输控制协议(TCP，Transmission Control Protocol)连接或者直接通过因特网协议(IP，International Protocol)转发，以明文方式传送远程主机发来的请求，并将内网服务器的应答通过SSL连接发送给远程主机。

为了增强网络资源访问的安全性，SSL VPN网关通过存储允许访问的统一资源定位符(URL，Uniform Resource Locator)列表对远程主机访问的网络资源进行控制。当SSL VPN网关接收到远程主机发送的访问请求时，SSL VPN网关判断访问请求中携带的URL是否存在于自身存储的允许访问URL列表中，如果存在，则允许远程主机访问该URL对应的内容，否则，禁止远程主机访问该URL对应的内容。

由于允许访问的URL对应的页面中可能包含有其它URL链接，当远程主机基于允许访问的URL对应的页面，访问其包含的URL时，如果SSL VPN网关存储的允许访问的URL中没有该外部URL时(即根据SSL VPN存储的允许访问的URL列表中不包括该URL)，将导致SSL VPN网关禁止远程主机访问该外部URL的内容，但是由于远程主机基于允许访问的URL对应的页面访问该URL，能够保证网络资源访问的安全性，是允许远程主机访问的。例如，在SSL VPN网关上存储的允许访问URL列表中包含www.ruijie.net，当远程主机通过向SSL VPN网关提交包含URL地址为https://sslvpn/www.ruijie.net的访问请求，请求SSL VPN网关代理访问www.ruijie.net时，SSL VPN网关接收到远程主机提交的访问请求之后，由于自身存储的允许访问URL列表中存在www.ruijie.net，便允许远程主机访问www.ruijie.net，同时向www.ruijie.net服务器发送访问请求。SSL VPN网关接收到www.ruijie.net服务器的回复后，修改www.ruijie.net服务器回复的网页中的URL(在URL的地址部分加入前缀：sslvpn/)，并将修改后的网页推送给远程主机。www.ruijie.net服务器回复的网页中可能包含https://sslvpn/www.baidu.com，此时，若远程主机通过网页www.ruijie.net访问https://sslvpn/www.baidu.com，如果在SSL VPN网关上存储的允许访问URL列表中不存在www.baidu.com时，将禁止远程主机访问www.baidu.com，而实际上允许用户通过www.ruijie.net访问www.baidu.com，即允许用户通过允许访问的URL对应的页面访问该允许访问的URL对应的页面中包含的URL。

为了解决上述问题，现有技术提出了以下两种解决方案：1)手动配置URL类表，根据允许访问的URL的内容，在SSLVPN网关上依次手动添加该允许访问的URL对应的页面中包含的URL，但是手动配置方法操作繁琐，如果允许访问的URL对应的页面发生改变，还需要对比原来的URL对应的页面并手动进行添加或者删除；2)关闭授权，关闭授权后远程主机可以不受限制的访问所有的URL，这样，将降低网络资源访问的安全性。

由上述描述可知，如何准确识别远程主机是否是基于允许访问的URL对应的页面访问不存在于允许访问URL列表中的URL，以简化网络侧设备授权流程，保证网络资源访问安全性，成为现有技术中亟待解决的技术问题之一。

发明内容