基于icap協議的網絡安全訪問控制方法

基于icap協議的網絡安全訪問控制方法
【專利摘要】本發明涉及一種基于ICAP協議的網絡安全訪問控制方法，該方法包括URL過濾控制和HTTP流量控制，所述的URL過濾控制為用戶客戶端向HTTP服務器發送HTTP請求時的安全控制，所述的HTTP流量控制為HTTP服務器向用戶客戶端發送HTTP應答消息時的安全控制，當ICAP服務器掃描出惡意流量時，ICAP服務器將通過ICAP客戶端對網絡訪問進行阻攔。與現有技術相比，本發明具有實時性強、成本低、可擴展性強、策略種類多等優點。
【專利說明】基于ICAP協議的網絡安全訪問控制方法
【技術領域】
[0001]本發明涉及一種網絡訪問的控制方法，尤其是涉及一種基于ICAP協議的網絡安全訪問控制方法。
【背景技術】
[0002]隨著運營商網絡規模不段擴容、用戶增多，各種網站大量涌現，其中不乏各種惡意網站，諸如:釣魚網站，色情網站，賭博網站等。如何實現讓用戶(諸如家長對孩子的網絡訪問控制)或者企業可以針對自身需求定制員工可以訪問的WEB網址是未來的發展方向。同時黑客攻擊，病毒及木馬傳播等不安全的內容充斥著互聯網并愈演愈烈，給大型網絡諸如運營商、IDC的網絡設備的吞吐量以及安全性帶來了考驗。
[0003]出于上述需求，結合了運營商網絡高壓力的特點，傳統部署安全類設備的方式主要包括將安全掃描設備以串接的方式部署到核心主干網中和將安全掃描設備以旁路的方式部署到核心主干網中，通常以“分光”的方式將設備部署在分光器的背后。以分光的模式去部署在分光器的背后的部署模式對流量控制的實時性較差，通常用戶訪問目的網址后設備才會顯示出報告，不能在用戶訪問目的網址之前對用戶的HTTP會話進行操作，例如:警告用戶此HTTP會話存在風險、放行并記錄HTTP會話或阻攔此會話。將安全掃描設備以串接的方式部署到核心主干網中的部署模式存在精準度低，漏判、誤判情況較多，并且串接的部署模式對于設備的性能以及穩定性有著極高的要求等缺點。ICAP是設計用來傳輸特定的基于互聯網的內容專用服務器協議，ICAP是Internet Content Adaptation Protocol的縮寫，它在本質上是在HTTP信息上執行遠程過程調用(RPC)的一種輕量級的協議。

【發明內容】

[0004]本發明的目的就是為了克服上述現有技術存在的缺陷而提供一種實時性強、成本低、可擴展性強的基于ICAP協議的網絡安全訪問控制方法。
[0005]本發明的目的可以通過以下技術方案來實現:
[0006]一種基于ICAP協議的網絡安全訪問控制方法，該方法包括URL過濾控制和HTTP流量控制，所述的URL過濾控制為用戶客戶端向HTTP服務器發送HTTP請求時的安全控制，包括以下步驟:
[0007]I)用戶客戶端發送HTTP請求到ICAP客戶端；
[0008]2) ICAP客戶端HTTP請求封裝為基于ICAP Preview的ICAP請求并發送給ICAP服務器；
[0009]3 ) I CAP服務器對解封裝ICAP請求，根據ICAP請求中的URL地址，向ICAP客戶端發送相應的動作指令；
[0010]4) ICAP客戶端根據接收到的動作指令向用戶客戶端發送返回信息，并將HTTP請求發送給HTTP服務器；
[0011]所述的HTTP流量控制為HTTP服務器向用戶客戶端發送HTTP應答消息時的安全控制，包括以下步驟:
[0012]11) HTTP服務器將HTTP應答消息發送給ICAP客戶端；
[0013]12)ICAP客戶端將HTTP應答消息的HTTP頭和內容封裝為ICAP應答信息，并發送到ICAP服務器；
[0014]13) ICAP服務器將ICAP應答信息解封裝，對封裝內部的HTTP應答信息進行掃描并將掃描結果發送到ICAP客戶端；
[0015]14) ICAP客戶端根據掃描結果將HTTP應答消息發送回用戶客戶端。
[0016]所述的步驟3)中的動作指令包括阻攔動作指令、警告動作指令和檢測并記錄動作指令。
[0017]所述的步驟4)中ICAP客戶端根據接收到的動作指令向用戶客戶端發送返回信息具體為:
[0018]若動作指令為阻攔動作指令，則ICAP客戶端將阻攔信息發送給用戶客戶端，用戶客戶端顯示阻攔頁面，返回步驟I)；
[0019]若動作指令為警告動作指令，則ICAP客戶端將警告信息發送給用戶客戶端，用戶客戶端顯示警告頁面，用戶客戶端向ICAP客戶端發送確認信號后，ICAP客戶端將HTTP請求發送給HTTP服務器；
[0020]若動作指令為檢測并記錄動作指令，則ICAP客戶端直接將HTTP請求發送給HTTP服務器。
[0021]所述的步驟13)中ICAP服務器對封裝內部的HTTP應答信息進行掃描后，若流量安全，則ICAP服務器將正常的HTTP應答信息封裝為ICAP應答信息返回到ICAP客戶端；若流量包含惡意內容，則ICAP服務器將阻攔頁面和HTTP應答信息一起封裝到ICAP應答信息中并發送給ICAP客戶端。
[0022]與現有技術相比，本發明具有以下優點:
[0023]I)實時性強，基于傳統分光技術的訪問流量控制設備策略生效有滯后性，傳統分光技術只能檢測或分析網絡中的流量，不能對流量進行有效的控制技術，本發明可以對流量執行阻攔或監控策略；
[0024]2)性能大幅提升，基于ICAP Preview模式的URL過濾技術使得ICAP服務器只接受HTTP頭即可判斷執行哪種策略，不用繼續傳輸對于URL過濾及控制策略無用的HTTP內容部分，而傳統檢測設備要全部拿到HTTP內容后才可以決定執行哪種策略；
[0025]3)策略種類的多樣性，傳統控制設備的策略單一，而本發明的策略種類分為:放行并記錄策略，警告策略，阻斷策略；
[0026]4)部署成本低,傳統分光技術需要多臺設備構成的系統(分光器,光信號放大器等若干設備)，本發明只需一臺ICAP客戶端即可；
[0027]5)維護成本低，通常維護一套分光檢測系統需要若干人員，本發明需要的管理ICAP客戶端設備的人員較少；
[0028]6)網絡可擴展性強，如果網絡中部署了基于分光技術的惡意流量監測方案之后，網絡中的設備變更會變得困難，本發明無需考慮物理部署，只需將需要掃描的流量在ICAP客戶端配置即可。【專利附圖】

【附圖說明】
[0029]圖1為本發明URL過濾的數據流示意圖；
[0030]圖2為本發明流量控制的數據流示意圖。
【具體實施方式】
[0031]下面結合附圖和具體實施例對本發明進行詳細說明。
[0032]實施例
[0033]本發明的基于ICAP協議的網絡安全訪問控制方法，包括URL過濾控制和HTTP流量控制，如圖1所示的URL過濾控制為用戶客戶端向HTTP服務器發送HTTP請求時的安全控制，包括以下步驟:
[0034]步驟101:用戶客戶端發送HTTP請求到ICAP客戶端；
[0035]步驟102 =ICAP客戶端HTTP請求封裝為基于ICAP Preview的ICAP請求并發送給ICAP服務器；
[0036]步驟103:ICAP服務器對解封裝ICAP請求，根據ICAP請求中的URL地址，向ICAP客戶端發送相應的動作指令，動作指令包括阻攔動作指令、警告動作指令和檢測并記錄動作指令；
[0037]步驟104 =ICAP客戶端根據接收到的動作指令向用戶客戶端發送返回信息，并將HTTP請求發送給HTTP服務器；
[0038]步驟105 =HTTP服務器將HTTP應答消息發送給ICAP客戶端；
[0039]步驟106:假設HTTP應答消息安全，則ICAP客戶端直接將HTTP應答消息發送給用戶客戶端:
[0040]若動作指令為阻攔動作指令，則ICAP客戶端將阻攔信息發送給用戶客戶端，用戶客戶端顯示阻攔頁面，返回步驟101)；
[0041]若動作指令為警告動作指令，則ICAP客戶端將警告信息發送給用戶客戶端，用戶客戶端顯示警告頁面，用戶客戶端向ICAP客戶端發送確認信號后，ICAP客戶端將HTTP請求發送給HTTP服務器；
[0042]若動作指令為檢測并記錄動作指令，則ICAP客戶端直接將HTTP請求發送給HTTP服務器。
[0043]如圖2所示的HTTP流量控制為HTTP服務器向用戶客戶端發送HTTP應答消息時的安全控制，包括以下步驟:
[0044]步驟201:用戶客戶端發送HTTP請求到ICAP客戶端；
[0045]步驟202:假設HTTP請求中URL地址安全，則ICAP客戶端直接將HTTP請求發送給HTTP服務器；
[0046]步驟203 =HTTP服務器將HTTP應答消息發送給ICAP客戶端；
[0047]步驟204 =ICAP客戶端將HTTP應答消息的HTTP頭和內容封裝為ICAP應答信息，并發送到ICAP服務器；
[0048]步驟205 =ICAP服務器將ICAP應答信息解封裝，對封裝內部的HTTP應答信息進行掃描，若流量安全，則ICAP服務器將正常的HTTP應答信息封裝為ICAP應答信息返回到ICAP客戶端；若流量包含惡意內容，則ICAP服務器將阻攔頁面和HTTP應答信息一起封裝到ICAP應答信息中并發送給ICAP客戶端；
[0049]步驟206 =ICAP客戶端根據掃描結果將HTTP應答消息發送回用戶客戶端。
[0050]本發明在的一般的用戶客戶端和HTTP服務器的鏈路中旁路連接了 ICAP客戶端和ICAP服務器，ICAP客戶端將HTTP信息封裝為ICAP信息，ICAP服務器實時的將掃描結果以ICAP信息交互給ICAP客戶端，如果URL地址和流量掃描安全，那么放行HTTP會話，如果掃描出惡意流量，那么ICAP服務器將對該網絡訪問進行阻攔。
【權利要求】
1.一種基于ICAP協議的網絡安全訪問控制方法，其特征在于，該方法包括URL過濾控制和HTTP流量控制，所述的URL過濾控制為用戶客戶端向HTTP服務器發送HTTP請求時的安全控制，包括以下步驟: 1)用戶客戶端發送HTTP請求到ICAP客戶端； 2)ICAP客戶端HTTP請求封裝為基于ICAP Preview的ICAP請求并發送給ICAP服務器； 3)ICAP服務器對解封裝ICAP請求，根據ICAP請求中的URL地址，向ICAP客戶端發送相應的動作指令； 4)ICAP客戶端根據接收到的動作指令向用戶客戶端發送返回信息，并將HTTP請求發送給HTTP服務器； 所述的HTTP流量控制為HTTP服務器向用戶客戶端發送HTTP應答消息時的安全控制，包括以下步驟: 11)HTTP服務器將HTTP應答消息發送給ICAP客戶端； 12)ICAP客戶端將HTTP應答消息的HTTP頭和內容封裝為ICAP應答信息，并發送到ICAP服務器； 13)ICAP服務器將ICAP應答信息解封裝，對封裝內部的HTTP應答信息進行掃描并將掃描結果發送到ICAP客戶端； 14)ICAP客戶端根據掃描結果將HTTP應答消息發送回用戶客戶端。
2.根據權利要求1所述的一種基于ICAP協議的網絡安全訪問控制方法，其特征在于，所述的步驟3)中的動作指令包括阻攔動作指令、警告動作指令和檢測并記錄動作指令。
3.根據權利要求2所述的一種基于ICAP協議的網絡安全訪問控制方法，其特征在于，所述的步驟4)中ICAP客戶端根據接收到的動作指令向用戶客戶端發送返回信息具體為: 若動作指令為阻攔動作指令，則ICAP客戶端將阻攔信息發送給用戶客戶端，用戶客戶端顯示阻攔頁面，返回步驟I)； 若動作指令為警告動作指令，則ICAP客戶端將警告信息發送給用戶客戶端，用戶客戶端顯示警告頁面，用戶客戶端向ICAP客戶端發送確認信號后，ICAP客戶端將HTTP請求發送給HTTP服務器； 若動作指令為檢測并記錄動作指令，則ICAP客戶端直接將HTTP請求發送給HTTP服務器。
4.根據權利要求1所述的一種基于ICAP協議的網絡安全訪問控制方法，其特征在于，所述的步驟13)中ICAP服務器對封裝內部的HTTP應答信息進行掃描后，若流量安全，則ICAP服務器將正常的HTTP應答信息封裝為ICAP應答信息返回到ICAP客戶端；若流量包含惡意內容，則ICAP服務器將阻攔頁面和HTTP應答信息一起封裝到ICAP應答信息中并發送給ICAP客戶端。
【文檔編號】H04L29/06GK103581144SQ201210277119
【公開日】2014年2月12日 申請日期:2012年8月6日 優先權日:2012年8月6日
【發明者】彭朝暉 申請人:無錫穩捷網絡技術有限公司