報文訪問控制的方法及裝置的制造方法
【專利摘要】本申請?zhí)峁﹫笪脑L問控制的方法及裝置，所述方法包括：接收到終端訪問網(wǎng)絡(luò)應(yīng)用所發(fā)送的報文；判斷所述報文是否為超文本傳輸協(xié)議HTTP報文；如果所述報文是HTTP報文，則基于第一報文屬性查找第一白名單；若查找命中，則放行所述報文；若查找未命中，則繼續(xù)基于第二報文屬性查找第二白名單；若查找第二白名單命中，則放行所述報文。應(yīng)用本申請實施例以解決現(xiàn)有通過URL白名單過濾技術(shù)實現(xiàn)Web訪問控制存在適應(yīng)性降低的問題。
【專利說明】
報文訪問控制的方法及裝置
技術(shù)領(lǐng)域
[0001] 本申請涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及報文訪問控制的方法及裝置。
【背景技術(shù)】
[0002] 對于典型的Web應(yīng)用來說，用戶可以在終端Web瀏覽器的地址框中輸入 URL (Uniform Resource Locator，統(tǒng)一資源定位符）地址，從而訪問對應(yīng)Web網(wǎng)頁，訪問Web 網(wǎng)頁是基于HTTP(Hyper Text Transfer Protocol，超文本傳輸協(xié)議）協(xié)議實現(xiàn)的?；诰W(wǎng) 絡(luò)安全或流量控制等考量因素，網(wǎng)絡(luò)（比如企業(yè)網(wǎng)絡(luò)）管理者需要對用戶訪問的Web網(wǎng)頁 進行控制。一種典型Web訪問控制技術(shù)是URL白名單過濾技術(shù)，當(dāng)用戶要訪問的Web網(wǎng)頁的 URL地址不在URL白名單中時，將阻斷此次訪問。URL白名單機制在一定程度上解決了 Web 訪問控制的問題，但隨著各種應(yīng)用在開發(fā)技術(shù)上的個性，其也存在著適應(yīng)性降低的問題。

【發(fā)明內(nèi)容】

[0003] 有鑒于此，本申請?zhí)峁┮环N報文訪問控制的方法及裝置，以解決現(xiàn)有通過URL白 名單過濾技術(shù)實現(xiàn)Web訪問控制存在適應(yīng)性降低的問題。
[0004] 具體地，本申請是通過如下技術(shù)方案實現(xiàn)的：
[0005] 根據(jù)本申請實施例的第一方面，提供一種報文訪問控制的方法，所述方法應(yīng)用在 控制設(shè)備上，所述方法包括：
[0006] 接收到終端訪問網(wǎng)絡(luò)應(yīng)用所發(fā)送的報文；
[0007] 判斷所述報文是否為超文本傳輸協(xié)議HTTP報文；
[0008] 如果所述報文是HTTP報文，則基于第一報文屬性查找第一白名單；
[0009] 若查找命中，則放行所述報文；若查找未命中，則繼續(xù)基于第二報文屬性查找第二 白名單；
[0010] 若查找第二白名單命中，則放行所述報文。
[0011] 根據(jù)本申請實施例的第二方面，提供一種報文訪問控制的裝置，所述裝置應(yīng)用在 控制設(shè)備上，所述裝置包括：
[0012] 接收單元，用于接收到終端訪問網(wǎng)絡(luò)應(yīng)用所發(fā)送的報文；
[0013] 判斷單元，用于判斷所述報文是否為超文本傳輸協(xié)議HTTP報文；
[0014] 第一查找單元，用于在所述報文是HTTP報文時，基于第一報文屬性查找第一白名 單；
[0015] 第一放行單元，用于在查找第一白名單命中時，放行所述報文；
[0016] 第二查找單元，用于在查找第一白名單未命中時，基于第二報文屬性查找第二白 名單；
[0017] 第二放行單元，用于在查找第二白名單命中時，放行所述報文。
[0018] 本申請實施例中，當(dāng)控制設(shè)備接收到終端訪問網(wǎng)絡(luò)應(yīng)用發(fā)送的報文后，解析該報 文，若該報文為HTTP報文，則通過第一白名單可以放行那些管理員允許的特殊的非Web應(yīng) 用，這些非Web應(yīng)用也有的HTTP報文就不會因為無法命中第二白名單（通常為URL白名單） 而被錯誤拒絕，以使終端正常訪問該網(wǎng)絡(luò)應(yīng)用；若未命中第一白名單，則獲取報文中攜帶的 URL地址，根據(jù)該URL地址查找預(yù)先保存的記錄了 URL地址的第二白名單，若查找命中，則放 行該報文，否則阻斷該報文，從而實現(xiàn)了對終端訪問網(wǎng)絡(luò)應(yīng)用的控制。
【附圖說明】
[0019] 圖1是應(yīng)用本申請一個實施例中報文訪問控制的應(yīng)用場景示意圖；
[0020] 圖2是本申請報文訪問控制的方法的一個實施例流程圖；
[0021] 圖3是本申請報文訪問控制的裝置所在控制設(shè)備的一種硬件結(jié)構(gòu)圖；
[0022] 圖4是本申請報文訪問控制的裝置的一個實施例框圖。
【具體實施方式】
[0023] 這里將詳細地對示例性實施例進行說明，其示例表示在附圖中。下面的描述涉及 附圖時，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實施例 中所描述的實施方式并不代表與本申請相一致的所有實施方式。相反，它們僅是與如所附 權(quán)利要求書中所詳述的、本申請的一些方面相一致的裝置和方法的例子。
[0024] 在本申請使用的術(shù)語是僅僅出于描述特定實施例的目的，而非旨在限制本申請。 在本申請和所附權(quán)利要求書中所使用的單數(shù)形式的"一種"、"所述"和"該"也旨在包括多 數(shù)形式，除非上下文清楚地表示其他含義。還應(yīng)當(dāng)理解，本文中使用的術(shù)語"和/或"是指 并包含一個或多個相關(guān)聯(lián)的列出項目的任何或所有可能組合。
[0025] 應(yīng)當(dāng)理解，盡管在本申請可能采用術(shù)語第一、第二、第三等來描述各種信息，但這 些信息不應(yīng)限于這些術(shù)語。這些術(shù)語僅用來將同一類型的信息彼此區(qū)分開。例如，在不脫離 本申請范圍的情況下，第一信息也可以被稱為第二信息，類似地，第二信息也可以被稱為第 一信息。取決于語境，如在此所使用的詞語"如果"可以被解釋成為"在……時"或"當(dāng)…… 時"或"響應(yīng)于確定"。
[0026] 現(xiàn)有技術(shù)中，終端用戶訪問Web應(yīng)用時，比如請求一個Web頁面，終端向Web服務(wù) 器發(fā)送攜帶URL地址的HTTP報文，控制設(shè)備接收到該HTTP報文后，解析該HTTP報文，獲 取HTTP報文中攜帶的URL地址，根據(jù)該URL地址查找預(yù)先設(shè)置的URL白名單，若查找未命 中，則可能阻斷該報文，終端無法實現(xiàn)此次Web應(yīng)用訪問。然而各種網(wǎng)絡(luò)應(yīng)用層出不窮，在 當(dāng)下一些比較新的產(chǎn)品中，HTTP技術(shù)已經(jīng)不局限于Web頁面訪問這樣的應(yīng)用了，當(dāng)終端使 用HTTP請求訪問其他非Web應(yīng)用時，終端向服務(wù)器發(fā)送的HTTP請求報文很可能會因為沒 有命中URL白名單被阻斷，導(dǎo)致終端用戶無法正常訪問其他非Web應(yīng)用，從而影響終端用戶 的體驗。
[0027] 為有效避免上述問題的發(fā)生，本申請?zhí)峁┝藞笪脑L問控制的方法及裝置。請參考 圖1，其為本申請一個實施例中報文訪問控制的應(yīng)用場景示意圖：該應(yīng)用場景包括終端側(cè)、 控制設(shè)備和服務(wù)器側(cè)，終端側(cè)可以有多個終端，服務(wù)器側(cè)可以有多個不同的服務(wù)器，終端側(cè) 通過網(wǎng)絡(luò)接入控制設(shè)備，控制設(shè)備與公網(wǎng)內(nèi)的服務(wù)器側(cè)相連，可以理解的是，本實施例中的 終端僅以電腦為例進行說明，實際應(yīng)用中終端可以是手機或平板電腦等其他具備網(wǎng)絡(luò)資源 訪問功能的終端。
[0028] 請參考圖2,其為本申請報文訪問控制的方法的一個實施例流程圖，應(yīng)用在控制設(shè) 備上，包括以下步驟：
[0029] 步驟S201 :接收到終端訪問網(wǎng)絡(luò)應(yīng)用所發(fā)送的報文。
[0030] 當(dāng)用戶通過終端訪問網(wǎng)絡(luò)應(yīng)用時，終端會發(fā)送相應(yīng)的報文，比如訪問Web頁面時 會發(fā)送HTTP請求報文，當(dāng)然訪問其他應(yīng)用時可能發(fā)送其他報文，比如FTP報文等。在本申 請中，將所述網(wǎng)絡(luò)應(yīng)用劃分為兩種類型的應(yīng)用，一種是Web應(yīng)用，另一種是非Web應(yīng)用。繼 續(xù)參考圖1，假設(shè)當(dāng)前的終端是終端A，其訪問網(wǎng)絡(luò)應(yīng)用時向服務(wù)器端發(fā)送報文，該報文會 先傳輸?shù)娇刂圃O(shè)備，控制設(shè)備可能會根據(jù)安全需要對報文進行各種適當(dāng)?shù)陌踩幚怼?br>[0031] 步驟S202 :判斷所述報文是否為HTTP報文，如果是，則執(zhí)行步驟S203,否則，結(jié)束 流程。
[0032] 當(dāng)控制設(shè)備收到終端發(fā)送的報文后，可以通過解析該報文，獲取報文中的目的端 口值，通過該目的端口值判斷報文是否為HTTP報文。一般來說，終端發(fā)送的HTTP請求報文 的端口值為80等知名端口。當(dāng)然也可以通過其他的方式來判斷報文是否為HTTP報文。事 實上，控制設(shè)備接收到來自終端的報文有很多種，HTTP報文只是其中一種，一般來說，不同 類型的報文其對應(yīng)的控制處理不盡相同，從邏輯上來看，可能進入不同的處理模塊進行處 理。對于其他類型報文的處理的更多細節(jié)可參考現(xiàn)有技術(shù)實現(xiàn)。
[0033] 步驟S203 :基于所述HTTP報文的第一報文屬性查找第一白名單。
[0034] 步驟S204 :若查找命中，則放行所述報文；若查找未命中，則繼續(xù)基于第二報文屬 性查找第二白名單。
[0035] 在一個例子中，該第一報文屬性是指HTTP報文的目的IP地址。值得注意的是，嚴 格意義上來說，HTTP報文的目的IP地址是指HTTP報文外層IP封裝中的目的IP地址，為 了描述方便簡化表述為HTTP報文的目的IP地址。若目的IP地址在白名單中查找命中，則 此HTTP報文可以放行。如果沒有命中，則繼續(xù)步驟S204的處理。
[0036] 在這一例子中，本申請使用目的IP地址可以區(qū)分出網(wǎng)絡(luò)應(yīng)用的類型。其背后的原 理是相對于網(wǎng)絡(luò)應(yīng)用的數(shù)量來說，使用HTTP技術(shù)的非Web應(yīng)用的數(shù)量是非常少的，而且這 些使用HTTP技術(shù)的非Web應(yīng)用的服務(wù)器的IP地址通常是固定的，因此目的IP地址往往能 夠準(zhǔn)確表征一個使用HTTP技術(shù)的非Web應(yīng)用。請參考表1，在實際使用過程中，管理員可 以將X應(yīng)用離線文件傳輸（比如QQ離線文件傳輸）的服務(wù)器的IP地址配置到第一白名單 中，這樣一來，基于HTTP報文的目的IP地址查找第一白名單會命中，說明允許終端用戶實 現(xiàn)此次訪問網(wǎng)絡(luò)應(yīng)用，終端用戶訪問QQ文件服務(wù)器的報文將被放行。若查找第一白名單未 命中，則有兩種情況，一種情況是該報文所屬的應(yīng)用是Web應(yīng)用，另一種情況是報文所屬的 應(yīng)用是管理員不關(guān)心的非Web應(yīng)用。此時將繼續(xù)步驟S204的處理。
[0037] 表 1
[0038]
[0039] 這里值得注意的是，在本例子中第一白名單是指IP地址白名單，基于IP地址建立 白名單本身是一個常見的技術(shù)，但是本申請中，IP地址白名單的使用前提是報文被確定為 HTTP報文之后才會檢查該IP地址白名單。傳統(tǒng)技術(shù)中對于IP地址白名單的處理，通常在 網(wǎng)絡(luò)層面（第三層）處理，也就是說此時報文還沒有被確定是否為HTTP報文。傳統(tǒng)技術(shù)中 報文的處理是自下而上的，傳統(tǒng)IP地址白名單會位于下層。而本申請的技術(shù)方案可以與傳 統(tǒng)的技術(shù)方案兼容，也就是說，一個控制設(shè)備可以在網(wǎng)絡(luò)層繼續(xù)保持基于IP地址白名單的 過濾機制，同時還可以利用本申請在確定報文為HTTP報文時使用本申請的IP地址白名單， 這樣一來，一個HTTP報文有可能經(jīng)過兩次IP地址白名單的過濾。兩個IP地址白名單背后 的意義是不同的，傳統(tǒng)的IP地址白名單本質(zhì)上是面向目標(biāo)主機（比如服務(wù)器），并不關(guān)心這 個目標(biāo)主機提供什么網(wǎng)絡(luò)應(yīng)用。而本申請引入的白名單則更加關(guān)注網(wǎng)絡(luò)應(yīng)用是不是管理員 所關(guān)心的。
[0040] 步驟S205 :若查找第二白名單命中，則放行所述報文。
[0041] 在一個例子中，第二白名單為URL白名單，請參考表2的示例，若查找第二白名單 命中，說明可以訪問該URL地址對應(yīng)的Web頁面，那么，放行該報文，以使終端實現(xiàn)此次Web 應(yīng)用訪問，若查找第二白名單未命中，則可以阻斷該報文，從而不允許終端訪問該URL地址 對應(yīng)的Web頁面。
[0042] 表 2
[0043]
[0044] 應(yīng)用上述實施例，當(dāng)控制設(shè)備接收到終端訪問網(wǎng)絡(luò)應(yīng)用發(fā)送的報文后，解析該報 文，若該報文為HTTP報文，則通過第一白名單可以放行那些管理員允許的特殊的非Web應(yīng) 用，這些非Web應(yīng)用也有的HTTP報文就不會因為無法命中第二白名單（通常為URL白名單） 而被錯誤拒絕，以使終端正常訪問該網(wǎng)絡(luò)應(yīng)用；若未命中第一白名單，則獲取報文中攜帶的 URL地址，根據(jù)該URL地址查找預(yù)先保存的記錄了 URL地址的第二白名單，若查找命中，則放 行該報文，否則阻斷該報文，從而實現(xiàn)了對終端訪問網(wǎng)絡(luò)應(yīng)用的控制。在一個可選的實現(xiàn)方 式中，控制設(shè)備阻斷終端訪問網(wǎng)絡(luò)應(yīng)用發(fā)送的報文后，可以生成阻斷日志，且該阻斷日志中 可以包括阻斷時間、阻斷次數(shù)、阻斷類型等信息。
[0045] 此外值得注意的是，一般來說，目前還有一種容易想到的解決方案是將非Web應(yīng) 用中所使用的URL地址直接添加到第二白名單（本例中為URL白名單）中，但這種方式相 對于本申請而言缺陷也是明顯的。很多企業(yè)網(wǎng)絡(luò)的控制設(shè)備（比如防火墻）上的URL白名 單通常是由第三方提供的專業(yè)白名單，由于使用HTTP技術(shù)的非Web應(yīng)用通常沒有一個容易 自動抓取的Web頁面，因此第三方也難以將這些Web應(yīng)用所使用的URL地址抓取到URL白 名單中提供給企業(yè)。
[0046] 通過以上描述可以發(fā)現(xiàn)，本申請在很大程度上避免了對終端訪問網(wǎng)絡(luò)應(yīng)用造成錯 誤阻斷，導(dǎo)致終端用戶無法正常訪問應(yīng)該被允許的網(wǎng)絡(luò)應(yīng)用。
[0047] 與前述報文訪問控制的方法的實施例相對應(yīng)，本申請還提供了報文訪問控制的裝 置的實施例。
[0048] 本申請報文訪問控制的裝置的實施例可以應(yīng)用在控制設(shè)備上。裝置實施例可以通 過軟件實現(xiàn)，也可以通過硬件或者軟硬件結(jié)合的方式實現(xiàn)。以軟件實現(xiàn)為例，作為一個邏輯 意義上的裝置，是通過其所在控制設(shè)備的處理器將非易失性存儲器中對應(yīng)的計算機程序指 令讀取到內(nèi)存中運行形成的。從硬件層面而言，如圖3所示，為本申請報文訪問控制的裝置 所在控制設(shè)備的一種硬件結(jié)構(gòu)圖，除了圖3所示的處理器、內(nèi)存、網(wǎng)絡(luò)接口、以及非易失性 存儲器之外，實施例中裝置所在的控制設(shè)備通常根據(jù)該控制設(shè)備的實際功能，還可以包括 其他硬件，對此不再贅述。
[0049] 請參考圖4,為本申請報文訪問控制的裝置的一個實施例框圖，所述裝置包括：接 收單元410、判斷單元420、第一查找單元430、第一放行單元440、第二查找單元450、第二放 行單元460。
[0050] 其中，所述接收單元410,用于接收到終端訪問網(wǎng)絡(luò)應(yīng)用所發(fā)送的報文；
[0051] 所述判斷單元420,用于判斷所述報文是否為HTTP報文；
[0052] 所述第一查找單元430,用于在所述報文是HTTP報文時，基于第一報文屬性查找 第一白名單；
[0053] 所述第一放行單元440,用于在查找第一白名單命中時，放行所述報文；
[0054] 所述第二查找單元450，用于在查找第一白名單未命中時，基于第二報文屬性查找 第二白名單；
[0055] 所述第二放行單元460,用于在查找第二白名單命中時，放行所述報文。
[0056] 在一個可選的實現(xiàn)方式中，所述第一報文屬性可以為HTTP報文的IP地址，且所述 IP地址為使用HTTP技術(shù)提供非Web應(yīng)用的服務(wù)器的IP地址，所述第一白名單為IP地址白 名單；所述非Web應(yīng)用為具備文件傳輸能力的應(yīng)用；所述第二報文屬性為所述HTTP報文中 所攜帶的URL地址，所述第二白名單為URL白名單。
[0057] 上述裝置中各個單元的功能和作用的實現(xiàn)過程具體詳見上述方法中對應(yīng)步驟的 實現(xiàn)過程，在此不再贅述。
[0058] 對于裝置實施例而言，由于其基本對應(yīng)于方法實施例，所以相關(guān)之處參見方法實 施例的部分說明即可。以上所描述的裝置實施例僅僅是示意性的，其中所述作為分離部件 說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以 不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的 需要選擇其中的部分或者全部模塊來實現(xiàn)本申請方案的目的。本領(lǐng)域普通技術(shù)人員在不付 出創(chuàng)造性勞動的情況下，即可以理解并實施。
[0059] 以上所述僅為本申請的較佳實施例而已，并不用以限制本申請，凡在本申請的精 神和原則之內(nèi)，所做的任何修改、等同替換、改進等，均應(yīng)包含在本申請保護的范圍之內(nèi)。
【主權(quán)項】
1. 一種報文訪問控制的方法，所述方法應(yīng)用在控制設(shè)備上，其特征在于，所述方法包 括： 接收到終端訪問網(wǎng)絡(luò)應(yīng)用所發(fā)送的報文； 判斷所述報文是否為超文本傳輸協(xié)議HTTP報文； 如果所述報文是HTTP報文，則基于第一報文屬性查找第一白名單； 若查找命中，則放行所述報文；若查找未命中，則繼續(xù)基于第二報文屬性查找第二白名 單； 若查找第二白名單命中，則放行所述報文。2. 根據(jù)權(quán)利要求1所述的方法，其特征在于，所述第一報文屬性為所述HTTP報文的網(wǎng) 絡(luò)之間互聯(lián)的協(xié)議IP地址，且所述IP地址為使用HTTP技術(shù)提供非Web應(yīng)用的服務(wù)器的IP 地址，所述第一白名單為IP地址白名單。3. 根據(jù)權(quán)利要求2所述的方法，其特征在于，所述非Web應(yīng)用為具備文件傳輸能力的應(yīng) 用。4. 根據(jù)權(quán)利要求1所述的方法，其特征在于，所述第二報文屬性為所述報文中所攜帶 的統(tǒng)一資源定位符URL地址，所述第二白名單為URL白名單。5. -種報文訪問控制的裝置，所述裝置應(yīng)用在控制設(shè)備上，其特征在于，所述裝置包 括： 接收單元，用于接收到終端訪問網(wǎng)絡(luò)應(yīng)用所發(fā)送的報文； 判斷單元，用于判斷所述報文是否為超文本傳輸協(xié)議HTTP報文； 第一查找單元，用于在所述報文是HTTP報文時，基于第一報文屬性查找第一白名單； 第一放行單元，用于在查找第一白名單命中時，放行所述報文； 第二查找單元，用于在查找第一白名單未命中時，基于第二報文屬性查找第二白名 單； 第二放行單元，用于在查找第二白名單命中時，放行所述報文。6. 根據(jù)權(quán)利要求5所述的裝置，其特征在于，所述第一報文屬性為所述HTTP報文的IP 地址，且所述IP地址為使用HTTP技術(shù)提供非Web應(yīng)用的服務(wù)器的IP地址，所述第一白名 單為IP地址白名單。7. 根據(jù)權(quán)利要求6所述的裝置，其特征在于，所述非Web應(yīng)用為具備文件傳輸能力的應(yīng) 用。8. 根據(jù)權(quán)利要求5所述的裝置，其特征在于，所述第二報文屬性為所述HTTP報文中所 攜帶的URL地址，所述第二白名單為URL白名單。
【文檔編號】H04L29/06GK105959248SQ201510530706
【公開日】2016年9月21日
【申請日】2015年8月26日
【發(fā)明人】朱梁
【申請人】杭州迪普科技有限公司