专利名称:网络访问的安全控制方法及装置的制作方法
技术领域:
本发明实施例涉及网络安全技术领域,尤其涉及一种网络访问的安全控制方法及
装置。
背景技术:
随着计算机在世界各地的普及,以及互联网的大力发展,通过网络(web)技术实
现信息的传播已成为一种主要的信息传播方式。在使用该项技术时由于其具有开放性,使
得所有在互联网上的用户只要通过一定的方式就都能够访问到所需的数据。 由于web技术的这种开放性,从而产生了各种恶意访问,通过技术方法访问某应
用系统,以取得该应用系统的秘密数据。例如,在浏览器地址栏直接输入管理程序的访问地
址,访问一些需要具备一定的权限才能访问的数据,企图不经过验证就运行管理程序,获得
应用系统的管理权限,然后进行各种操作,通过这些操作获得应用系统保存管理的数据,达
到窃取数据的目的;或者通过这些操作破坏应用系统保存管理的数据。再例如,通过在浏览
器地址栏构造特殊字符串,以访问应用程序,从而探测应用系统的敏感数据,最终获得应用
系统保存的各种数据。 正是由于各种恶意访问的产生,将导致网络中重要数据泄漏或丢失,使得网络访 问的安全性降低。
发明内容
本发明实施例提供一种网络访问的安全控制方法及装置,用以解决现有技术中存 在恶意访问的缺陷,提高网络访问的安全性。 本发明实施例提供一种网络访问的安全控制方法,包括
接收访问请求消息; 获取所述访问请求消息的源地址和访问地址,所述源地址为发送所述访问请求消
息的原始地址,所述访问地址为所述源地址请求访问的数据的地址; 根据所述源地址和访问地址,对所述访问请求消息进行响应处理。 其中,所述根据所述源地址和访问地址,对所述访问请求消息进行响应处理具体
包括 判断所述源地址是否为安全地址; 若所述源地址为非安全地址,则对所述访问请求消息进行拒绝访问的响应处理;
若所述源地址为安全地址,则判断所述源地址是否有权访问所述访问地址,若是, 则对所述访问请求消息进行允许访问的响应处理,否则,对所述访问请求消息进行拒绝访 问的响应处理。
所述判断所述源地址是否为安全地址具体包括 判断所述源地址是否为预先设定的地址,若是,则确定所述源地址为安全地址,否 则,确定所述源地址为非安全地址。
所述对所述访问请求消息进行拒绝访问的响应处理具体包括
将所述访问请求消息添加到访问日志中; 将所述访问请求消息的访问地址重定向为允许访问的数据的地址。
本发明实施例提供一种网络访问的安全控制装置,包括
接收模块,用于接收访问请求消息; 获取模块,用于获取所述接收模块接收到的所述访问请求消息的源地址和访问地 址,所述源地址为发送所述访问请求消息的原始地址,所述访问地址为所述源地址请求访 问的数据的地址; 处理模块,用于根据所述获取模块获取到的所述源地址和访问地址,对所述访问
请求消息进行响应处理。 其中,所述处理模块包括 第一判断单元,用于判断所述获取模块获取到的所述源地址是否为安全地址;
第二判断单元,用于当所述源地址为安全地址时,判断所述源地址是否有权访问 所述访问地址; 第一响应单元,用于当所述源地址有权访问所述访问地址时,对所述访问请求消 息进行允许访问的响应处理; 第二响应单元,用于当所述源地址为非安全地址时或所述源地址无权访问所述访 问地址时,对所述访问请求消息进行拒绝访问的响应处理。
进一步地,所述第一判断单元包括 判断子单元,用于判断所述源地址是否为预先设定的地址; 确定子单元,用于当所述源地址为预先设定的地址时,确定所述源地址为安全地
址,当所述源地址不是预先设定的地址时,确定所述源地址为非安全地址。 所述第二响应单元包括 添加子单元,用于将所述访问请求消息添加到访问日志中; 重定向子单元,用于将所述访问请求消息的访问地址重定向为允许访问的数据的 地址。 本发明实施例的网络访问的安全控制方法及装置,通过拦截来自各方的恶意访 问,增强了网络访问的安全性。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发 明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以 根据这些附图获得其他的附图。
图1为本发明网络访问的安全控制方法第一实施例的流程图;
图2为本发明网络访问的安全控制方法第二实施例的流程图;
图3为本发明网络访问的安全控制装置第一实施例的结构示意图;
图4为本发明网络访问的安全控制装置第二实施例的结构示意图。
具体实施例方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例
中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是
本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员
在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明网络访问的安全控制方法第一实施例的流程图。如图1所示,本实
施例提供了一种网络访问的安全控制方法,包括 步骤101、接收访问请求消息; 步骤102、获取该访问请求消息的源地址和访问地址,其中,源地址为发送该访问
请求消息的原始地址,访问地址为该源地址请求访问的数据的地址; 步骤103、根据源地址和访问地址,对该访问请求消息进行响应处理。本实施例可以应用于社区企业操作系统(Community EnterpriseOperating
System ;以下简称CentOS)上。该访问请求消息可以为客户端通过代理浏览器发送的访问
请求消息,即CentOS上的web服务器对所有来自客户端的访问请求消息进行安全审核和验
证,并根据审核和验证对该访问请求消息进行响应处理。 本发明实施例的网络访问的安全控制方法,可以防止针对地址栏的恶意访问,通 过拦截来自各方的恶意访问,增强了网络访问的安全性。 图2为本发明网络访问的安全控制方法第二实施例的流程图。如图2所示,在上 述方法第一实施例的基础上,步骤103可以具体包括 步骤201、判断源地址是否为安全地址,若源地址为非安全地址,则执行步骤202, 若源地址为安全地址,则执行步骤203 ; 步骤202、对访问请求消息进行拒绝访问的响应处理; 步骤203、判断源地址是否有权访问访问地址,若是,则执行步骤204,否则,执行 步骤202 ; 步骤204、对访问请求消息进行允许访问的响应处理。 在本实施例中,首先,判断访问请求消息的源地址是否安全,判断的标准可以预先 定义,符合定义的地址则为安全地址,否则为非安全地址。在服务器中,某些程序为应用系 统的管理程序,只有特定权限的管理员才能访问,如果这些程序如果被恶意地运行将导致 数据资料泄露或者丢失。只有服务器的资源程序被安全运行才能够保证网络访问的安全 性。因此还需要判断请求要访问的数据是否允许被该源地址访问,只有源地址有权访问访 问地址时,才可对访问请求消息进行允许访问的响应处理。 进一步地,步骤201可以具体为判断源地址是否为预先设定的地址,若是,则确 定源地址为安全地址,否则,确定源地址为非安全地址。 客户端的访问请求消息到达服务器时,可以首先通过权限控制程序从访问请求消 息中获取关键字段的数据,通过对关键字段的数据进行比较验证,判断该访问请求消息的 源地址,如果不是来自预先设定的地址,则对访问请求消息进行拒绝访问的响应处理,阻止 本次访问。 更进一步地,步骤202可以具体为将访问请求消息添加到访问日志中;并将访问 请求消息的访问地址重定向为允许访问的数据的地址。
在本实施例中,将访问请求消息添加到访问日志中,以备后续查看。并通过访问日 志和访问地址的重定向来实现网络访问的安全控制。对于来自非安全地址的访问请求消 息,将其添加到访问日志中并将其访问地址重定向到允许访问的安全页面,对于来自安全 地址的访问请求消息,若其无权访问,则将其访问地址重定向到允许访问的数据,若其有权 访问,则把该访问请求消息由后续处理程序处理。 在本发明的实施例中,可以在访问服务器数据之前,即接收到访问请求消息时,对 访问请求消息进行处理,保持了处理过程的独立性。 本发明实施例的网络访问的安全控制方法,通过拦截来自各方的恶意访问,增强 了网络访问的安全性。 图3为本发明网络访问的安全控制装置第一实施例的结构示意图。如图3所示, 本实施例提供了一种网络访问的安全控制装置,包括接收模块31、获取模块32和处理模 块33。其中,接收模块31用于接收访问请求消息;获取模块32用于获取接收模块31接收 到的访问请求消息的源地址和访问地址,源地址为发送访问请求消息的原始地址,访问地 址为源地址请求访问的数据的地址;处理模块33用于根据获取模块32获取到的源地址和 访问地址,对访问请求消息进行响应处理。 本实施例可以应用于社区企业操作系统(Community EnterpriseOperating System ;以下简称CentOS)上。该访问请求消息可以为客户端通过代理浏览器发送的访问 请求消息,即通过在CentOS上的web服务器中布置安全控制装置,对所有来自客户端的访 问请求消息进行安全审核和验证,并根据审核和验证对该访问请求消息进行响应处理。
本发明实施例的网络访问的安全控制装置,通过拦截来自各方的恶意访问,增强 了网络访问的安全性。 图4为本发明网络访问的安全控制装置第二实施例的结构示意图。如图4所示, 在上述装置第一实施例的基础上,处理模块33可以包括第一判断单元41、第二判断单元 42、第一响应单元43和第二响应单元44。其中,第一判断单元41用于判断获取模块32获 取到的源地址是否为安全地址;第二判断单元42用于当源地址为安全地址时,判断源地址 是否有权访问该访问地址;第一响应单元43用于当源地址有权访问该访问地址时,对访问 请求消息进行允许访问的响应处理;第二响应单元44用于当源地址为非安全地址时或源 地址无权访问该访问地址时,对访问请求消息进行拒绝访问的响应处理。
在本实施例中,首先,判断访问请求消息的源地址是否安全,判断的标准可以预先 定义,符合定义的地址则为安全地址,否则为非安全地址。在服务器中,某些程序为应用系 统的管理程序,只有特定权限的管理员才能访问,如果这些程序如果被恶意地运行将导致 数据资料泄露或者丢失。只有服务器的资源程序被安全运行才能够保证网络访问的安全 性。因此还需要判断请求要访问的数据是否允许被该源地址访问,只有源地址有权访问访 问地址时,才可对访问请求消息进行允许访问的响应处理。 进一步地,第一判断单元41可以包括判断子单元45和确定子单元46。其中,判 断子单元45用于判断源地址是否为预先设定的地址;确定子单元46用于当源地址为预先 设定的地址时,确定源地址为安全地址,当源地址不是预先设定的地址时,确定源地址为非 安全地址。 客户端的访问请求消息到达服务器时,可以首先通过权限控制程序从访问请求消息中获取关键字段的数据,通过对关键字段的数据进行比较验证,判断该访问请求消息的 源地址,如果不是来自预先设定的地址,则对访问请求消息进行拒绝访问的响应处理,阻止 本次访问。 更进一步地,第二响应单元44可以包括添加子单元47和重定向子单元48。其 中,添加子单元47用于将访问请求消息添加到访问日志中;重定向子单元48用于将访问请 求消息的访问地址重定向为允许访问的数据的地址。 在本实施例中,通过访问日志和访问地址的重定向来实现网络访问的安全控制。 对于来自非安全地址的访问请求消息,将其添加到访问日志中并将其访问地址重定向到允 许访问的安全页面,对于来自安全地址的访问请求消息,若其无权访问,则将其访问地址重 定向到允许访问的数据,若其有权访问,则把该访问请求消息由后续处理程序处理。
在本发明的实施例中,可以在访问服务器数据之前,即接收到访问请求消息时,对 访问请求消息进行处理,保持了处理过程的独立性。 本发明实施例的网络访问的安全控制装置,通过拦截来自各方的恶意访问,增强 了网络访问的安全性。 本发明主要思想是根据web访问过程中需要经历发出访问请求消息,然后服务器
根据该访问请求消息进行响应处理,并发回响应信息给客户端的过程特性,在客户端请求
到达服务器后被请求程序处理之前,设定一个安全控制装置,该安全控制装置,负责把一切
不安全的访问进行重定向,避免应用系统数据的泄露,增强网络访问的安全性。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过
程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序
在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、 RAM、磁碟或者
光盘等各种可以存储程序代码的介质。 最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种网络访问的安全控制方法,其特征在于,包括接收访问请求消息;获取所述访问请求消息的源地址和访问地址,所述源地址为发送所述访问请求消息的原始地址,所述访问地址为所述源地址请求访问的数据的地址;根据所述源地址和访问地址,对所述访问请求消息进行响应处理。
2. 根据权利要求1所述的网络访问的安全控制方法,其特征在于,所述根据所述源地址和访问地址,对所述访问请求消息进行响应处理具体包括判断所述源地址是否为安全地址;若所述源地址为非安全地址,则对所述访问请求消息进行拒绝访问的响应处理;若所述源地址为安全地址,则判断所述源地址是否有权访问所述访问地址,若是,则对所 述访问请求消息进行允许访问的响应处理,否则,对所述访问请求消息进行拒绝访问的响应处理。
3. 根据权利要求2所述的网络访问的安全控制方法,其特征在于,所述判断所述源地址是否为安全地址具体包括判断所述源地址是否为预先设定的地址,若是,则确定所述源地址为安全地址,否则,确定所述源地址为非安全地址。
4. 根据权利要求2或3所述的网络访问的安全控制方法,其特征在于,所述对所述访问请求消息进行拒绝访问的响应处理具体包括将所述访问请求消息添加到访问日志中;将所述访问请求消息的访问地址重定向为允许访问的数据的地址。
5. —种网络访问的安全控制装置,其特征在于,包括接收模块,用于接收访问请求消息;获取模块,用于获取所述接收模块接收到的所述访问请求消息的源地址和访问地址,所述源地址为发送所述访问请求消息的原始地址,所述访问地址为所述源地址请求访问的数据的地址;处理模块,用于根据所述获取模块获取到的所述源地址和访问地址,对所述访问请求消息进行响应处理。
6. 根据权利要求5所述的网络访问的安全控制装置,其特征在于,所述处理模块包括第一判断单元,用于判断所述获取模块获取到的所述源地址是否为安全地址;第二判断单元,用于当所述源地址为安全地址时,判断所述源地址是否有权访问所述访问地址;第一响应单元,用于当所述源地址有权访问所述访问地址时,对所述访问请求消息进行允许访问的响应处理;第二响应单元,用于当所述源地址为非安全地址时或所述源地址无权访问所述访问地址时,对所述访问请求消息进行拒绝访问的响应处理。
7. 根据权利要求6所述的网络访问的安全控制装置,其特征在于,所述第一判断单元包括判断子单元,用于判断所述源地址是否为预先设定的地址;确定子单元,用于当所述源地址为预先设定的地址时,确定所述源地址为安全地址,当所述源地址不是预先设定的地址时,确定所述源地址为非安全地址。
8.根据权利要求6或7所述的网络访问的安全控制装置,其特征在于,所述第二响应单元包括添加子单元,用于将所述访问请求消息添加到访问日志中;重定向子单元,用于将所述访问请求消息的访问地址重定向为允许访问的数据的地址。
全文摘要
本发明提供一种网络访问的安全控制方法及装置。该方法包括接收访问请求消息;获取所述访问请求消息的源地址和访问地址,所述源地址为发送所述访问请求消息的原始地址,所述访问地址为所述源地址请求访问的数据的地址;根据所述源地址和访问地址,对所述访问请求消息进行响应处理。该装置包括接收模块、获取模块和处理模块。本发明实施例通过拦截来自各方的恶意访问,增强了网络访问的安全性。
文档编号G06F21/22GK101702724SQ20091023683
公开日2010年5月5日 申请日期2009年11月2日 优先权日2009年11月2日
发明者于丽娜, 岑光, 李桢, 高万林 申请人:中国农业大学