專利名稱:報文處理方法、裝置和系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及網(wǎng)絡技術領域����,更具體地說,涉及一種報文處理方法、裝置 和系統(tǒng)��。
背景技術:
當前存在多種安全代理技術�,遠程的用戶端可以通過安全代理訪問內(nèi)網(wǎng) 應用服務器。例如����, 一種端口轉發(fā)技術, 一般應用于SSL(Secure Sockets Layer,安 全套接層)VPN (虛擬專用網(wǎng))網(wǎng)關(為了方^f更描述��,下文統(tǒng)稱為安全代理網(wǎng) 關)中����,其工作過程如下安裝有Web瀏覽器的客戶端上,當瀏覽器要與遠端Web服務器建立安 全連接時�����,向安全代理網(wǎng)關發(fā)出請求����,由安全代理網(wǎng)關負責與遠端Web服務 器建立連接�����。連接建立后,客戶端與服務器之間的數(shù)據(jù)傳輸是經(jīng)過安全代理 網(wǎng)關轉發(fā)完成的�。SSLVPN網(wǎng)關無需在客戶端安裝和設置任何軟件,只要會使用瀏覽器上 網(wǎng)瀏覽就可以毫無障礙的使用SSLVPN�����。但是在實現(xiàn)本發(fā)明過程中���,發(fā)明人發(fā)現(xiàn)目前這種轉發(fā)技術至少存在如下 問題安全代理網(wǎng)關在接收到客戶端發(fā)送的數(shù)據(jù)報文后���,刪除數(shù)據(jù)報文中的源 地址信息,而僅將數(shù)據(jù)報文的內(nèi)容部分封裝上安全代理網(wǎng)關的IP后提供給應 用服務器�����。則對于服務器來說��,其由于無法獲得所述數(shù)據(jù)報文的源地址信息��, 從而導致其自身的安全策略無法應用���。發(fā)明內(nèi)容本發(fā)明實施例提供一種報文處理方法�����、裝置和系統(tǒng)���,以解決現(xiàn)有技術由
本發(fā)明實施例是這樣實現(xiàn)的 一種"^艮文處理方法�����,包括接收客戶端通過預先建立的安全通道發(fā)送的認證請求�;當認證通過時���,通過所述安全通道向所述客戶端返回對應的第一安全策略�����;接收該客戶端針對所述第一安全策略���、通過所述安全通道發(fā)送的數(shù)據(jù)報 文,該數(shù)據(jù)報文以安全代理網(wǎng)關地址為當前目的地址�,并攜帶有作為源地址 的客戶端地址信息和作為終點目的地址的應用服務器地址信息��;發(fā)送攜帶有客戶端地址信息和應用服務器地址信息的原始數(shù)據(jù)報文���,使 得接收到該原始數(shù)據(jù)報文的應用服務器根據(jù)與所述原始數(shù)據(jù)報文中客戶端地 址信息相匹配的第二安全策略��,對該原始數(shù)據(jù)報文進行處理���。 本發(fā)明實施例還公開了另一種報文處理方法�����,包括 通過預先建立的安全通道向安全代理網(wǎng)關發(fā)送認證請求��; 接收所述安全代理網(wǎng)關針對該認證請求返回的第 一安全策略�����; 根據(jù)所述第一安全策略��,將封裝有作為當前目的地址的安全代理網(wǎng)關地 址信息�、作為終點目的地址的應用服務器地址信息和作為源地址的客戶端地 址信息的數(shù)據(jù)報文通過所述安全通道發(fā)送�。本發(fā)明實施例還同時公開了一種安全代理網(wǎng)關,包括 第一通信單元���,用于與客戶端進行信息交互���,其接收到的該客戶端發(fā)送 的數(shù)據(jù)報文以安全代理網(wǎng)關地址為當前目的地址,并攜帶有作為源地址的客 戶端地址信息和作為終點目的地址的應用服務器地址信息����;認證單元����,用于當所述第一通信單元接收到客戶端通過預先建立的安全 通道發(fā)送的認證請求時�����,對該客戶端進行認證����;第一處理單元,用于在所述認證單元針對該客戶端的認證通過時�,將與 該客戶端對應的第 一安全策略由所述第 一通信單元通過所述安全通道發(fā)送給 該客戶端;第二通信單元����,用于與應用服務器進行信息交互,發(fā)送攜帶有客戶端地 址信息和應用服務器地址信息的原始數(shù)據(jù)報文�����,使得接收到該原始數(shù)據(jù)報文 的應用服務器根據(jù)與所述原始數(shù)據(jù)報文中客戶端地址信息相匹配的第二安全 策略�,對該原始數(shù)據(jù)t艮文進行處理����。本發(fā)明實施例同時還提供了一種客戶端�,包括認證請求單元���,用于通過預先建立的安全通道向安全代理網(wǎng)關發(fā)送認證 請求��,并接收所述安全代理網(wǎng)關通過所述安全通道返回的對應的第 一安全策 略^處理與通信單元����,用于根據(jù)所述第一安全策略���,將攜帶有作為當前目的 地址的安全代理網(wǎng)關地址信息���、作為終點目的地址的應用服務器地址信息和 作為源地址的客戶端地址信息的數(shù)據(jù)報文通過所述安全通道發(fā)送。此外�,本發(fā)明實施例還公開了一種通信系統(tǒng),包括客戶端�、安全代理網(wǎng)關和應用服務器,其中所述客戶端��,用于通過預先建立的安全通道發(fā)送攜帶有作為當前目的地 址的安全代理網(wǎng)關地址信息�、作為終點目的地址的應用服務器地址信息和作 為源地址的客戶端地址信息的數(shù)據(jù)報文;所述安全代理網(wǎng)關���,用于接收所述客戶端通過所述安全通道發(fā)送過來的 數(shù)據(jù)報文�����,并發(fā)送攜帶有為源地址的客戶端地址信息和為目的地址的應用服 務器地址信息的原始數(shù)據(jù)報文����;所述應用服務器,用于接收所述安全代理網(wǎng)關發(fā)送的原始數(shù)據(jù)報文���,根 據(jù)與所述原始數(shù)據(jù)報文中客戶端地址信息相匹配的第二安全策略����,對該原始 數(shù)據(jù)纟艮文進行處理�����。從上述的技術方案可以看出��,與現(xiàn)有技術相比�,本發(fā)明實施例由于從安 全代理網(wǎng)關發(fā)送過來的數(shù)據(jù)報文中包含了來自客戶端的原始數(shù)據(jù)包括數(shù)據(jù) 內(nèi)容(DATA)及客戶端的源地址信息,從而使得應用服務器能夠根據(jù)客戶端 的源地址信息所匹配的第二安全策略�����,對由安全代理網(wǎng)關轉發(fā)的來自客戶端 的數(shù)據(jù)報文進行處理。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案��,下面將對實施例 或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹�,顯而易見地��,下面描述中的 附圖僅僅是本發(fā)明的一些實施例�,對于本領域普通技術人員來講,在不付出創(chuàng)造 性勞動性的前提下�,還可以根據(jù)這些附圖獲得其他的附圖。 圖1為本發(fā)明實施例提供的一種報文處理方法的流程圖��; 圖2為本發(fā)明實施例提供的另一種報文處理方法的流程圖����; 圖3為本發(fā)明實施例提供的另一種^t艮文處理方法的流程圖; 圖4為本發(fā)明實施例提供的另一種報文處理方法的流程圖����; 圖5為數(shù)據(jù)^R文^f各式示意圖1; 圖6為數(shù)據(jù)報文格式示意圖2;圖7為本發(fā)明實施例提供的一種報文處理裝置的結構示意圖; 圖8為本發(fā)明實施例提供的另一種報文處理裝置的結構示意圖��; 圖9為本發(fā)明實施例提供的另一種報文處理裝置的結構示意圖���; 圖10為本發(fā)明實施例提供的另一種報文處理裝置的結構示意圖; 圖11為本發(fā)明實施例提供的另一種報文處理裝置的結構示意圖; 圖12為本發(fā)明實施例提供的一種通信系統(tǒng)的結構示意圖���。
具體實施方式
下面將結合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術方案進行 清楚����、完整地描述,顯然�����,所描述的實施例僅僅是本發(fā)明一部分實施例���,而 不是全部的實施例����?��;诒景l(fā)明中的實施例���,本領域普通技術人員在沒有作 出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍�����。本發(fā)明實施例提供了報文處理方法和裝置,用于在數(shù)據(jù)轉發(fā)的過程中讓 應用服務器能夠獲得完整的來自客戶端的原始數(shù)據(jù)����,即包含客戶端地址信息 的原始數(shù)據(jù)報文,從而使得所述應用服務器能夠根據(jù)自身的訪問策略對應用 訪問進行控制��,換句話說�,即使得應用服務器能夠根據(jù)客戶端的源地址信息 所匹配的第二安全策略�����,對由安全代理網(wǎng)關轉發(fā)的來自客戶端的原始數(shù)據(jù)報 文進行處理����,需要說明的是這里的原始數(shù)據(jù)報文為類似于客戶端直接發(fā)給 內(nèi)網(wǎng)應用服務器的報文,即不經(jīng)安全代理網(wǎng)關的代理直接發(fā)給內(nèi)網(wǎng)應用服務 器的報文���。請參考圖1,為本發(fā)明實施例提供的一種報文處理方法的流程圖��。 本實施例為安全代理網(wǎng)關側處理報文的流程���,包括以下步驟 步驟S101 、接收客戶端通過預先建立的安全通道發(fā)送的認證請求;
步驟S102�、當認證通過時,通過所述安全通道向所述客戶端返回對應的第一安全策略�;步驟S103、接收客戶端針對所述第一安全策略�、通過所述安全通道發(fā)送 的數(shù)據(jù)才艮文。所述數(shù)據(jù)報文攜帶作為源地址的客戶端地址信息和和作為終點目的地址 的應用服務器地址信息�����,并以安全代理網(wǎng)關地址為當前目的地址��。步驟S104�����、發(fā)送攜帶有客戶端地址信息和應用服務器地址信息的原始數(shù) 據(jù)報文����;應當理解的是由于原始數(shù)據(jù)報文中攜帶有作為目的地址的應用服 務器地址信息,網(wǎng)絡會將該原始數(shù)據(jù)報文轉發(fā)到目的應用服務器的��。所述客戶端原始數(shù)據(jù)報文的格式與客戶端直接發(fā)送給應用服務器(不經(jīng) 過安全代理網(wǎng)關代理)的數(shù)據(jù)報文格式相類似�����,攜帶有作為源地址的客戶端 地址信息和作為目的地址的應用服務器地址信息及數(shù)據(jù)信息。經(jīng)過步驟S104之后���,所述應用服務器地址對應的目標應用服務器接收到 所述數(shù)據(jù)報文����,則可依據(jù)預先設置的����、與客戶端地址匹配的安全策略對發(fā)送 自安全代理網(wǎng)關的客戶端原始數(shù)據(jù)報文進行處理。需要說明的是����,客戶端發(fā)送的數(shù)據(jù)報文可以是匹配其預先獲取的安全策 略的數(shù)據(jù)報文(為了清楚起見����,下文將該安全策略稱為第一安全策略,將應 用服務器對原始數(shù)據(jù)報文進行處理所根據(jù)的安全策略稱為第二安全策略)��。所述第一安全策略包含授權信息和訪問控制信息�����,所述授權信息表示用 戶能訪問的內(nèi)網(wǎng)應用資源���,所述訪問控制信息表示對某資源的操作權限����,用所述第二安全策略可以是禁止或者允許某些客戶端訪問操作,例如所 述第二安全策略是禁止源地址是158.16.58.100的客戶端訪問�����,則當應用服務 器接收到安全代理網(wǎng)關發(fā)送過來的數(shù)據(jù)報文后���,獲取其中的客戶端IP地址����, 當該客戶端IP地址為158.16.58.100時����,拒絕該客戶端訪問,否則���,允許該 客戶端訪問����?��?梢钥闯?�,本發(fā)明實施例中��,安全代理網(wǎng)關在接收到客戶端的數(shù)據(jù)報文 后�,不是按照現(xiàn)有處理方式將客戶端地址刪除且取而代之地攜帶安全代理網(wǎng) 關的地址信息,而是保留客戶端地址���。在一些實施例中�,安全代理網(wǎng)關一旦 接收到客戶端發(fā)送的數(shù)據(jù)報文后����,即按照步驟S104進行處理,當客戶端發(fā)送
的數(shù)據(jù)報文均屬于同一類的數(shù)據(jù)時��,這種方式是適用的�。但是���,實際工作中��, 安全代理網(wǎng)關有可能同時處理各種業(yè)務的數(shù)據(jù)報文���,其處理的數(shù)據(jù)報文中����, 有些數(shù)據(jù)報文需要進行上述圖1所示流程����,有些數(shù)據(jù)報文則按照現(xiàn)有的處理 方式進行即可,于是�,安全代理網(wǎng)關需要與客戶端約定一種方式,以使安全 代理網(wǎng)關可以確定客戶端發(fā)送的哪些數(shù)據(jù)報文需要根據(jù)上述圖1所示流程處 理���,哪些數(shù)據(jù)報文需要按照現(xiàn)有的正常流程處理��。在另外一個實施例中�����,安全代理網(wǎng)關接收到來自客戶端的數(shù)據(jù)報文后���, 判斷是否解析得到預先約定的標識(該標識可以由私有協(xié)議頭表示,下文統(tǒng) 稱為私有協(xié)議頭)���,若是�,則可進行步驟S104處理����,否則���,按照現(xiàn)有的處理方式進行。現(xiàn)有的處理方式即刪除客戶端發(fā)送過來的報文中的當前目的地 址和客戶端地址�����,然后以其中的應用服務器地址為目的地址���,以本安全代理 網(wǎng)關地址為源地址進行發(fā)送����。具體流程屬于現(xiàn)有"t支術�����,在此不詳細描述���。來自客戶端的原始數(shù)據(jù)包括數(shù)據(jù)內(nèi)容(DATA)及客戶端的源地址信息,從而使得應用服務器能夠根據(jù)客戶端的源地址信息所匹配的第二安全策略��,對由安全代理網(wǎng)關轉發(fā)的來自客戶端的數(shù)據(jù)報文進行處理����。請參閱圖2為本發(fā)明一個實施例的報文處理方法�,應用于客戶端��,包括 步驟S201����、通過預先建立的安全通道向安全代理網(wǎng)關發(fā)送認證請求,該認證請求中包含認證信息��;步驟S202���、接收所述安全代理網(wǎng)關針對該認證請求返回的第一安全策略��;步驟S203�、根據(jù)所述第一安全策略����,將封裝有作為當前目的地址的安全 代理網(wǎng)關地址信息、作為終點目的地址的應用服務器地址信息和作為源地址 的客戶端地址信息的數(shù)據(jù)報文通過所述安全通道發(fā)送�。請參考圖3,為本發(fā)明另一實施例的客戶端側封裝并發(fā)送報文的流程圖����, 包括以下步驟步驟S301 ���、截獲第一協(xié)議層和第二協(xié)議層之間的數(shù)據(jù)報文; 該數(shù)據(jù)報文攜帶客戶端地址信息和應用服務器地址信息�。 步驟S302、在該數(shù)據(jù)報文中封裝預設標識���; 在一種實現(xiàn)下��,當確定所述數(shù)據(jù)報文符合第一安全策略時�,可以在該數(shù) 據(jù)^R文中封裝私有協(xié)議頭�����。其中��,獲取該數(shù)據(jù)報文的目的地址��;當該數(shù)據(jù)報文的目的地址為預設內(nèi) 網(wǎng)資源的地址時���,確定該數(shù)據(jù)報文符合所述第一安全策略�����。步驟S303����、以安全代理網(wǎng)關地址為目的地址���,將所述封裝有預設標識的 數(shù)據(jù)報文進行發(fā)送���。在一種實現(xiàn)下,將以安全代理網(wǎng)關地址為當前目的地址重新封裝后的數(shù) 據(jù)報文通過所述安全通道發(fā)送給安全代理網(wǎng)關��,所述私有協(xié)議頭用于指示所 述安全代理網(wǎng)關發(fā)送客戶端原始數(shù)據(jù)報文���,該原始數(shù)據(jù)報文中攜帶有客戶端 地址信息����。所述客戶端和安全代理網(wǎng)關之間傳輸?shù)臄?shù)據(jù)報文可以承載于預先建立的 安全通道上�,所述安全代理網(wǎng)關接收客戶端通過所述安全通道發(fā)送的認證請 求,利用該iU正請求對該客戶端進行iU正���,并在iU正通過時�,與所述客戶端 進行通信����。功后����,由所述安全代理網(wǎng)關發(fā)送給客戶端的�。下面通過一個實施例,對客戶端和安全代理網(wǎng)關的報文處理過程進行詳 細說明�����,具體交互過程如圖4所示�,包括以下步驟步驟S401 、安全代理網(wǎng)關接收客戶端通過預先建立的安全通道發(fā)送的認 證信息����。證書。步驟S402����、安全代理網(wǎng)關利用該認證信息對該客戶端進行認證。 安全代理網(wǎng)關根據(jù)認證信息的源地址�,查詢預先存儲的參考信息,獲取 與該源地址相對應的加密方式�,利用相應的解密方式對該i人證信息進行解密, 獲取其中的用戶名�、密碼和證書��,并與參考信息進行比較�,當認證信息中的 用戶名�、密碼和證書和參考信息中的用戶名��、密碼和證書和參考信息一致時����, 確定認證通過,否則�����,確定認證失敗���。步驟S403���、認證通過時,安全代理網(wǎng)關將對應的第一安全策略發(fā)送給客 戶端���。
步驟S404��、客戶端接收所述第一安全策略���,進行存儲���。 步驟S405、客戶端截獲數(shù)據(jù)報文��。在用戶進行操作時��,截獲第一協(xié)議層和第二協(xié)議層之間的數(shù)據(jù)報文�����。所 述第一協(xié)議層和第二協(xié)議層可以指的是應用層�、傳輸層、互聯(lián)層和網(wǎng)絡接口 層中的任意兩個�����,本發(fā)明實施例中���,所述第一協(xié)議層為IP層�,所述第二協(xié)議 層為MAC層�。在用戶在客戶端上進行操作時(例如訪問操作),客戶端截獲IP層和 MAC層之間的數(shù)據(jù)報文����。步驟S406��、當該數(shù)據(jù)報文符合所述第一安全策略時�,客戶端將該數(shù)據(jù)報 文封裝預設標識����?���?蛻舳伺袛嘣摂?shù)據(jù)報文是否符合所述第一安全策略,若是�,則在所述數(shù) 據(jù)報文中封裝上預設信息,否則�����,發(fā)出警告或者不做任何響應��。 所述預設標識的具體形式可以是私有協(xié)議頭����。客戶端從IP層和MAC層之間截獲的數(shù)據(jù)報文格式如圖5所示��,其中, IP1頭包含訪問內(nèi)網(wǎng)應用服務器的IP地址(目的IP地址)���、網(wǎng)關分配給客 戶端的IP地址(客戶端IP地址)��;TCP1頭包含客戶端TCP地址(客戶端 TCP地址)和內(nèi)網(wǎng)應用服務器的TCP地址(目的TCP地址)及其他相關信 息�;DATA為數(shù)據(jù)內(nèi)容�����?�?蛻舳伺袛嗨鰯?shù)據(jù)報文是否符合所述第一安全策略具體為判斷所述 數(shù)據(jù)報文的目的地址所對應的內(nèi)網(wǎng)應用服務器是否是授權及允許訪問的���,若 是��,則確定該數(shù)據(jù)報文符合所述第一安全策略���,否則,則確定該數(shù)據(jù)報文不 符合所述第一安全策略�。例如規(guī)定IP地址為172.16.12.0/24的內(nèi)網(wǎng)資源是 授權并且可以被訪問,如果報文的目的IP地址為172.16.12.0/24,則該報文 符合所述第一安全策略��,否則����,則該報文不符合所述第一安全策略�。當所述數(shù)據(jù)報文符合所述第一安全策略時����,將所述數(shù)據(jù)報文作為應用層 數(shù)據(jù)封裝,封裝后的數(shù)據(jù)報文格式如圖6所示��,其中�����,IP1頭�����、TCP1頭和 DATA與圖5所示相同��,IP2頭包含安全代理網(wǎng)關的IP地址(當前目的IP地 址)�,TCP2頭包含安全代理網(wǎng)關的端口 (目的端口 )��;私有協(xié)議頭包含一些 自定義信息����。
步驟S407����、客戶端將封裝后的數(shù)據(jù)"R文通過所述安全通道發(fā)送給所述安全代理網(wǎng)關���。步驟S408����、安全代理網(wǎng)關接收客戶端發(fā)送的數(shù)據(jù)報文�,當解析得出預設 標識時,將客戶端原始數(shù)據(jù)報文發(fā)送給目的應用服務器�。安全代理網(wǎng)關接收到所述數(shù)據(jù)報文后,刪除圖5中的IP2頭和TCP2頭�����, 當解析得到私有協(xié)議頭時��,可以刪除圖5中私有協(xié)議頭���,并發(fā)送與圖4相同 的數(shù)據(jù)報文��;應當理解的是也可以發(fā)送包含私有協(xié)議頭��、IP1頭�、TCP1頭 及DATA的數(shù)據(jù)報文。步驟S409��、應用服務器接收到安全代理網(wǎng)關發(fā)送的數(shù)據(jù)報文后���,依據(jù)第 二安全策略對數(shù)據(jù)l艮文進行處理�。由于安全代理網(wǎng)關發(fā)送過來的數(shù)據(jù)報文為客戶端原始報文包括數(shù)據(jù)內(nèi) 容(DATA)及客戶端的IP地址�����。則應用服務器在接收到所述安全代理網(wǎng)關 發(fā)送過來的數(shù)據(jù)報文后��,依據(jù)與客戶端地址匹配的安全策略對該數(shù)據(jù)報文進 行處理����。所述第一安全策略和第二安全策略可以根據(jù)用戶需求或者網(wǎng)絡實際運行 情況而設定��。步驟S410-步驟S411�、在允許該客戶端訪問時,應用服務器根據(jù)報文請 求的內(nèi)容����,發(fā)送響應結果報文給安全代理網(wǎng)關,并由所述安全代理網(wǎng)關通過 所述安全通道返回給所述客戶端��。在一些實施例中,在數(shù)據(jù)報文的私有協(xié)議頭中的信息可以包含用戶ID���, 所述安全代理網(wǎng)關接收到來自客戶端的數(shù)據(jù)報文后�,從其中的私有協(xié)議頭獲 取用戶ID,記錄該用戶ID對應的網(wǎng)絡流量���,便于網(wǎng)管查看各在線用戶的流量 情況��。應當理解的是該私有協(xié)議頭中還可以包含其他信息�����,可以根據(jù)實際 應用來確定��。本發(fā)明實施例中�����,由于從安全代理網(wǎng)關發(fā)送過來的數(shù)據(jù)報文中包含了來 自客戶端的原始數(shù)據(jù)包括數(shù)據(jù)內(nèi)容(DATA)及客戶端的源地址信息����,從而 使得應用服務器能夠根據(jù)客戶端的源地址信息所匹配的訪問控制策略(即第一步的處理���。并且�����,客戶端和所述安全代理網(wǎng)關之間傳輸?shù)臄?shù)據(jù)報文承載于 安全通道中���,保證了通信的安全性����。
需要說明的是�,所述客戶端和所述安全代理網(wǎng)關之間數(shù)據(jù)"R文所承載的安全通道建立方式可以如下客戶端發(fā)送安全信道建立請求。該安全信道建立請求是按照預定的加密方式進行加密的��,所述預定的加密方式是客戶端預先與安全代理網(wǎng)關協(xié)商后確定的��。所述加密方式也可以是由客戶端單方面確定的�����,則該通信請求中設置有用于指示該加密方式的信息����。在一種實現(xiàn)下���,客戶端在安全通道建立請求中設置用戶名���、密碼和證書�; 安全代理網(wǎng)關接收到該安全通道建立請求后�����,獲取該安全通道建立請求的源地址信息���,并記錄該源地址信息����、用戶名���、密碼�、證書和安全通道之間的對應關系�,將該對應關系確定為參考信息,并返回確認信息��,以確認安全信道的建立�����。所述安全信道建立請求和確認信息可以是以SSL/TLS協(xié)議進行發(fā)送和接 收的。針對上述方法實施例�����,本發(fā)明實施例還公開了一種安全代理網(wǎng)關����,請參 考圖7,為該安全代理網(wǎng)關的結構示意圖��。報文處理裝置包括第一通信單元71�、認證單元72、第一處理單元73 和第二通信單元74�。其中第一通信單元71,用于與客戶端進行信息交互��,其接收到的發(fā)自客戶端 的數(shù)據(jù)報文以安全代理網(wǎng)關地址為目的地址�,并攜帶作為源地址的客戶端地 址和作為終點目的地址的應用服務器地址。認證單元72,用于當?shù)谝煌ㄐ艈卧?1接收到客戶端發(fā)送的認證請求���, 利用該認證請求對客戶端進行認證��。所述認證請求可以承載于預先建立的安全通道上��。第一處理單元73���,用于在認證單元72針對該客戶端的認證通過時,將 與該客戶端對應的第 一安全策略由第 一通信單元71通過所述安全通道發(fā)送給 該客戶端�����。第二通信單元74��,用于與應用服務器進行信息交互�,發(fā)送客戶端原始數(shù) 據(jù)才艮文,所述客戶端原始數(shù)據(jù)報文攜帶有客戶端地址信息和應用服務器地址 信息�,使得接收到該原始數(shù)據(jù)報文的應用服務器可以根據(jù)與所述原始數(shù)據(jù)報 文中客戶端地址信息相匹配的第二安全策略,對該原始凄t據(jù)導艮文進行處理���。
第一安全策略可以是用戶自定義的�,其可以是允許所述客戶端訪問某 些內(nèi)網(wǎng)資源�,例如允許所述客戶端訪問IP地址為172.16.12.0/24的內(nèi)網(wǎng)資源。 于是���,所述客戶端截獲到數(shù)據(jù)報文后�,獲取該數(shù)據(jù)報文的目的IP地址�,當該
ifef"i^士S + AA曰AAA +,V A 17, 1R n/O/1 Fhf X&;義i'云;fe5"士frig + StA^f;*楚一土 全策略����,否則��,確定該數(shù)據(jù)報文不符合第一安全策略�。在另外的實施例中����,
所述第一安全策略還可以是:允許客戶端對預定IP地址的內(nèi)網(wǎng)資源進行操作, 例如信息寫入操作和信息拷貝操作���。于是���,客戶端截獲到數(shù)據(jù)報文后,如果 該數(shù)據(jù)報文的目的地址為所述預定IP地址�����,并且該數(shù)據(jù)報文指示進行信息寫 入操作����,則確認該數(shù)據(jù)報文符合所述第一安全策略,否則�,確定該數(shù)據(jù)報文 不符合所述第一安全策略。
所述第二安全策略也可以是內(nèi)網(wǎng)應用服務器的維護人員自定義的���,其可 以對客戶端的訪問和操作進行控制���。該第二安全策略針對最初發(fā)送數(shù)據(jù)報文 的客戶端IP地址(也即數(shù)據(jù)報文原始地址)進行設置的����,例如����,該第二安全 策略為允許IP地址為預設IP地址客戶端的訪問操作�����。于是��,當接收到安全 代理網(wǎng)關發(fā)送過來的數(shù)據(jù)報文后�,獲取其原始地址,判斷該原始地址是否為 所述預設IP���,若是�,則將相應響應結果發(fā)送給安全代理網(wǎng)關�,并由所述安全 代理網(wǎng)關提供給客戶端,否則�����,發(fā)送指示訪問出錯的信息給所述安全代理網(wǎng) 關,并由所述安全代理網(wǎng)關提供給所述客戶端����,或者對該數(shù)據(jù)報文進行忽略, 即不反饋任何信息����。
需要說明的是,在另外實施例公開的安全代理網(wǎng)關還可以進一步包括用 于建立安全通道的功能單元���,該安全代理網(wǎng)關的結構如圖8所示���,包括第 一通信單元81、認證單元82����、第一處理單元83、第二通信單元84和安全通 道建立單元85�。
其中第一通信單元81、認證單元82���、第一處理單元83��、第二通信單 元84的功能分別與第一通信單元71�����、認證單元72����、第一處理單元73�、第二 通信單元74相類似;而安全通道建立單元85,用于在第一通信單元81接收 到客戶端發(fā)送的安全通道建立請求時���,從該請求中獲得客戶端IP地址�、用戶 名���、密碼和加密方式指示信息���,保存所述客戶端IP地址、用戶名��、密碼和加
密方式之間的對應關系�,作為參考信息,并通過第一通信單元81向客戶端返 回對應的安全通道建立響應信息,確認安全通道建立�����。
本發(fā)明實施例還公開了另 一種安全代理網(wǎng)關��,其在接收到客戶端的數(shù)據(jù) 報文后��,在解析得出預設標識時�����,發(fā)送所述客戶端原始數(shù)據(jù)報文給相應服務 器���,也就是說����,第二通信單元發(fā)送客戶端原始數(shù)據(jù)報文是有條件的���,該條件
就是客戶端發(fā)送的數(shù)據(jù)報文中封裝有私有協(xié)議頭���。如果解析客戶端發(fā)送的 數(shù)據(jù)報文中沒有封裝私有協(xié)議頭,則將該數(shù)據(jù)報文按照現(xiàn)有處理方式進行處 理���。請參考圖9����,為另外實施例公開的安全代理網(wǎng)關結構示意圖,包括第一 通信單元91���、認證單元92����、第一處理單元93���、第二通信單元94����、安全通道 建立單元95和解析單元96���。
其中第一通信單元91、認證單元92���、第一處理單元93����、第二通信單 元94和安全通道建立單元95的功能,與第一通信單元81�����、認證單元82���、 第一處理單元83�、第二通信單元84和安全通道建立單元85相類似���;解析單 元96用于從第一通信單元91接收的數(shù)據(jù)報文中解析出私有協(xié)議頭���,在去除 所述私有協(xié)議頭后,由第二通信單元94發(fā)送攜帶有作為源地址的客戶端地址 信息和作為目的地址的應用服務器地址信息的原始數(shù)據(jù)報文���。
本發(fā)明實施例同時還提供了另一種客戶端�,其結構如圖10所示���,包括 認證請求單元101和處理與通信單元102;
認證請求單元101���,用于通過預先建立的安全通道向安全代理網(wǎng)關發(fā)送
全策略^" 、 �。 ' ' �、 ' ^
處理與通信單元102,用于根據(jù)所述第一安全策略�,將攜帶有作為當前 目的地址的安全代理網(wǎng)關地址信息、作為終點目的地址的應用服務器地址信 息和作為源地址的客戶端地址信息的數(shù)據(jù)報文通過所述安全通道發(fā)送���。
圖11示出了另外實施例公開的客戶端的結構���,該客戶端包括認證請求 單元111和處理與通信單元112,其中��,認證請求單元111的功能與認證請 求單元101相類似��,處理與通信單元112包括截獲單元1121�、第三通信單 元1122和第二處理單元1123;
其中
截獲單元1121,用于截獲第一協(xié)議層和第二協(xié)議層之間的數(shù)據(jù)報文���,該 數(shù)據(jù)報文攜帶有客戶端地址信息和應用服務器地址信息���。
在用戶進行操作時�,截獲第一協(xié)議層和第二協(xié)議層之間的數(shù)據(jù)報文。所 述第一協(xié)議層和第二協(xié)議層可以指的是應用層��、傳輸層���、互聯(lián)層和網(wǎng)絡接口 層中的任意兩個�,本發(fā)明實施例中,所述第一協(xié)議層為IP層���,所述第二協(xié)議
層為MAC層��。
第三通信單元1122��,用于與安全代理網(wǎng)關進行信息交互���。 第二處理單元1123,用于在確定該數(shù)據(jù)報文符合所述第一安全策略時����, 在截獲單元1121所截獲的所述數(shù)據(jù)^1文中封裝私有協(xié)議頭,由所述第三通信 單元1122將以安全代理網(wǎng)關地址為當前目的地址重新封裝后的數(shù)據(jù)報文通 過所述安全通道發(fā)送給安全代理網(wǎng)關����,所述私有協(xié)議頭用于指示所述安全代 理網(wǎng)關發(fā)送客戶端原始數(shù)據(jù)報文,該原始數(shù)據(jù)報文中攜帶有客戶端地址信息��。 在另外的實施例中��,第二處理單元1123也可以用于在確定該數(shù)據(jù)^JL符 合所述第一安全策略時�,不封裝私有協(xié)議頭���,而直接由所述第三通信單元將 攜帶有作為當前目的地址的安全代理網(wǎng)關地址信息、作為終點目的地址的應
用服務器地址信息和作為源地址的客戶端地址信息的數(shù)據(jù)報文通過所述安全 通道發(fā)送���。
在另外實施例中�����,還可以進一步包括用于建立安全通道的功能單元����,用 于配合上述安全通道建立單元建立客戶端和安全代理網(wǎng)關之間的安全通道����。
所述私有協(xié)議頭中設置的信息一般是用戶自定義的信息(例如用戶名信 息),這些自定義信息可以用于各種應用�����,例如�����,同一個客戶端有可能由多 個不同的用戶使用����,統(tǒng)計各個用戶的訪問流量或者訪問資源的一些歷史信息 可能是有用的。于是���,網(wǎng)關在獲取報文后��,可以根據(jù)所述用戶名信息統(tǒng)計相 應的i方問5克量�����。
另外��,本發(fā)明實施例還提供一種通信系統(tǒng)����,請參考圖12,該通信系統(tǒng)包 括客戶端10�、安全代理網(wǎng)關20和應用服務器30;
客戶端10用于通過預先建立的安全通道發(fā)送攜帶有作為當前目的地址的 安全代理網(wǎng)關地址信息、作為終點目的地址的應用服務器地址信息和作為源 地址的客戶端地址信息的數(shù)據(jù)報文���。
報文�,并發(fā)送攜帶有為源地址的客戶端地址信息和為目的地址的應用服務器 地址信息的原始數(shù)據(jù)報文���。應用服務器30用于接收所述安全代理網(wǎng)關發(fā)送的原始數(shù)據(jù)報文����,根據(jù)與 所述原始數(shù)據(jù)"^艮文中客戶端地址信息相匹配的第二安全策略,對該原始凄t據(jù) 報文進行處理���,應當理解的是���,應用服務器30可以為內(nèi)網(wǎng)應用服務器?��?蛻舳?0的結構和功能可以如上述圖10所示���,安全代理網(wǎng)關20的結構 和功能可以如上述圖7所示。在另外實施例中�,客戶端10的結構和功能可以與上述圖11所示的客戶 端相同,安全代理網(wǎng)關20的結構和功能可以與上述圖8或圖9所示的安全代 理網(wǎng)關相同����。本領域技術人員可以理解,可以使用許多不同的工藝和技術中的任意一 種來表示信息��、消息和信號���。例如����,上述說明中提到過的消息���、信息都可以 表示為電壓���、電流、電磁波����、磁場或磁性粒子、光場或以上任意組合�。專業(yè)人員還可以進一步應能意識到,結合本文中所公開的實施例描述的 各示例的單元及算法步驟�����,能夠以電子硬件�、計算機軟件或者二者的結合來 實現(xiàn),為了清楚地說明硬件和軟件的可互換性����,在上述說明中已經(jīng)按照功能 一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來 執(zhí)行,取決于技術方案的特定應用和設計約束條件�����。專業(yè)技術人員可以對每 個特定的應用來使用不同方法來實現(xiàn)所描述的功能��,但是這種實現(xiàn)不應認為 超出本發(fā)明的范圍���。結合本文中所公開的實施例描述的方法或算法的步驟可以用硬件����、處理 器執(zhí)行的軟件模塊���,或者二者的結合來實施�����。軟件模塊可以置于隨機存儲器 (RAM)��、內(nèi)存��、只讀存儲器(ROM)�����、電可編程ROM�、電可擦除可編程 ROM、寄存器����、硬盤、可移動磁盤����、CD-ROM�、或技術領域內(nèi)所公知的任意 其它形式的存儲介質(zhì)中。對所公開的實施例的上述說明����,使本領域?qū)I(yè)技術人員能夠?qū)崿F(xiàn)或使用 本發(fā)明。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易 見的���,本文中所定義的一l殳原理可以在不脫離本發(fā)明的精神或范圍的情況下�����,
在其它實施例中實現(xiàn)����。因此,本發(fā)明將不會被限制于本文所示的這些實施例, 而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍�。
權利要求
1、一種報文處理方法�����,其特征在于�����,包括接收客戶端通過預先建立的安全通道發(fā)送的認證請求�����;當認證通過時��,通過所述安全通道向所述客戶端返回對應的第一安全策略�����;接收該客戶端針對所述第一安全策略����、通過所述安全通道發(fā)送的數(shù)據(jù)報文,該數(shù)據(jù)報文以安全代理網(wǎng)關地址為當前目的地址���,并攜帶有作為源地址的客戶端地址信息和作為終點目的地址的應用服務器地址信息�����;發(fā)送攜帶有客戶端地址信息和應用服務器地址信息的原始數(shù)據(jù)報文�����,使得接收到該原始數(shù)據(jù)報文的應用服務器根據(jù)與所述原始數(shù)據(jù)報文中客戶端地址信息相匹配的第二安全策略�,對該原始數(shù)據(jù)報文進行處理。
2�����、 如權利要求1所述的方法��,其特征在于����,所述發(fā)送攜帶有客戶端地址 信息和應用服務器地址信息的原始數(shù)據(jù)報文包括當對所述客戶端針對所述第 一安全策略�����、通過所述安全通道發(fā)送的數(shù)據(jù) 報文解析得出私有協(xié)議頭時��,去除所述私有協(xié)議頭,發(fā)送攜帶有客戶端地址 信息和應用服務器地址信息的原始數(shù)據(jù)報文���。
3���、 如權利要求1所述的方法,所述安全通道通過如下步驟建立 接收客戶端發(fā)送的安全通道建立請求�����,該請求攜帶客戶端IP地址��、用戶名�、密碼和加密方式指示信息;記錄所述客戶端IP地址��、用戶名�����、密碼和加密方式之間的對應關系����,作 為參考信息,并向客戶端反饋響應信息�,確認安全通道建立����。
4�����、 如權利要求3所述的方法��,其特征在于�,所述對客戶端進行認證包括 根據(jù)所述參考信息對所述認證請求中的用戶名和密碼進行驗證,如果所述認 證請求中的用戶名和密碼與參考信息中的用戶名和密碼一致���,確定認證通過�。
5���、 如權利要求2所述的方法,其特征在于���,如果所述私有協(xié)議頭中攜帶 有用戶名信息�����,則所述方法還包括計算并記錄該用戶名信息對應的用戶的 訪問流量�。
6、 一種報文處理方法���,其特征在于����,包括 通過預先建立的安全通道向安全代理網(wǎng)關發(fā)送認證請求��; 接收所述安全代理網(wǎng)關針對該認證請求返回的第 一安全策略���; 根據(jù)所述第一安全策略���,將封裝有作為當前目的地址的安全代理網(wǎng)關地 址信息、作為終點目的地址的應用服務器地址信息和作為源地址的客戶端地 址信息的數(shù)據(jù)報文通過所述安全通道發(fā)送�。
7、 如權利要求6所述的方法����,其特征在于,所述根據(jù)所述第一安全策略�,將封裝有作為當前目的地址的安全代理網(wǎng)關地址信息、作為終點目的地址的 應用服務器地址信息和作為源地址的客戶端地址信息的數(shù)據(jù)報文通過所述安全通道發(fā)送包括截獲第一協(xié)議層和第二協(xié)議層之間的數(shù)據(jù)報文�,該數(shù)據(jù)報文攜帶有客戶 端地址信息和應用服務器地址信息;當確定所述數(shù)據(jù)報文符合所述第 一安全策略時���,在該數(shù)據(jù)報文中封裝私有協(xié)議頭����,并將以安全代理網(wǎng)關地址為當前目的地址重新封裝后的數(shù)據(jù)報文通過所述安全通道發(fā)送給安全代理網(wǎng)關,所述私有協(xié)議頭用于指示所述安全代理網(wǎng)關發(fā)送客戶端原始數(shù)據(jù)報文�����,該原始數(shù)據(jù)報文中攜帶有客戶端地址信 臺
8����、 如權利要求7所述的方法,其特征在于���,所述確定該數(shù)據(jù)報文符合所 述第一安全策略包括獲取該數(shù)據(jù)報文的目的地址���;當該數(shù)據(jù)報文的目的地址為預設內(nèi)網(wǎng)資源 的地址時,確定該數(shù)據(jù)^^艮文符合所述第一安全策略����。
9�����、 如權利要求要求7所述的方法,其特征在于�,所述第一協(xié)議層為IP 層,所述第二協(xié)議層為MAC層��。
10��、 一種安全代理網(wǎng)關��,其特征在于�����,包括第一通信單元��,用于與客戶端進行信息交互���,其接收到的該客戶端發(fā)送 的數(shù)據(jù)報文以安全代理網(wǎng)關地址為當前目的地址��,并攜帶有作為源地址的客 戶端地址信息和作為終點目的地址的應用服務器地址信息����;認證單元���,用于當所述第一通信單元接收到客戶端通過預先建立的安全 通道發(fā)送的認證請求時����,對該客戶端進行認證;第一處理單元�����,用于在所述認證單元針對該客戶端的認證通過時��,將與 該客戶端對應的第 一安全策略由所述第 一通信單元通過所述安全通道發(fā)送給 該客戶端�; 第二通信單元,用于與應用服務器進行信息交互����,發(fā)送攜帶有客戶端地 址信息和應用服務器地址信息的原始數(shù)據(jù)報文,使得接收到該原始數(shù)據(jù)報文 的應用服務器根據(jù)與所述原始數(shù)據(jù)報文中客戶端地址信息相匹配的第二安全 策略��,對該原始數(shù)據(jù)報文進行處理��。
11����、 如權利要求10所述的安全代理網(wǎng)關設備,其特征在于�,還包括 安全通道建立單元,用于在所述第一通信單元接收到客戶端發(fā)送的安全通道建立請求時��,〃Mv該請求中獲得客戶端IP地址��、用戶名�、密碼和加密方式 指示信息,保存所述客戶端IP地址�����、用戶名����、密碼和加密方式之間的對應關 系,作為參考信息���,由所述第一通信單元向客戶端返回對應的安全通道建立 響應信息�,確i人安全通道建立���。
12��、 如權利要求10或11所述的安全代理網(wǎng)關設備��,其特征在于��,還包 括解析單元�����,用于從所述第一通信單元接收的數(shù)據(jù)報文中解析出私有協(xié)議 頭��,在去除所述私有協(xié)議頭后���,由所述第二通信單元發(fā)送攜帶有為源地址的 客戶端地址信息和為目的地址的應用服務器地址信息的原始數(shù)據(jù)報文�����。
13��、 一種客戶端����,其特征在于���,包括認證請求單元�����,用于通過預先建立的安全通道向安全代理網(wǎng)關發(fā)送認證略�����;處理與通信單元�����,用于根據(jù)所述第一安全策略����,將攜帶有作為當前目的 地址的安全代理網(wǎng)關地址信息�����、作為終點目的地址的應用月l務器地址信息和 作為源地址的客戶端地址信息的數(shù)據(jù)報文通過所述安全通道發(fā)送����。
14、 如權利要求13所述的客戶端�,其特征在于,所述處理與通信單元包括截獲單元�����,用于截獲第一協(xié)議層和第二協(xié)議層之間的數(shù)據(jù)報文�����,該數(shù)據(jù) 報文攜帶有客戶端地址信息和應用服務器地址信息;第三通信單元��,用于與安全代理網(wǎng)關進行信息交互�����;第二處理單元��,用于在確定該數(shù)據(jù)報文符合所述第一安全策略時��,在所 述截獲單元所截獲的所述數(shù)據(jù)報文中封裝私有協(xié)議頭����,由所述第三通信單元 將以安全代理網(wǎng)關地址為當前目的地址重新封裝后的數(shù)據(jù)報文通過所述安全 通道發(fā)送給安全代理網(wǎng)關,所述私有協(xié)議頭用于指示所述安全代理網(wǎng)關發(fā)送客戶端原始數(shù)據(jù)報文���,該原始數(shù)據(jù)報文中攜帶有客戶端地址信息��;或者���,用于在確定該數(shù)據(jù)報文符合所述第一安全策略時,由所述第三通信單元將攜帶有作為當前目的地址的安全代理網(wǎng)關地址信息����、作為終點目的地址的應用服務器地址信息和作為源地址的客戶端地址信息的數(shù)據(jù)報文通過所述安全通道發(fā)送�。
15����、 一種通信系統(tǒng),其特征在于����,包括客戶端�����、安全代理網(wǎng)關和應用服務器���,其中所述客戶端���,用于通過預先建立的安全通道發(fā)送攜帶有作為當前目的地 址的安全代理網(wǎng)關地址信息、作為終點目的地址的應用服務器地址信息和作 為源地址的客戶端地址信息的數(shù)據(jù)報文��;所述安全代理網(wǎng)關�,用于接收所述客戶端通過所述安全通道發(fā)送過來的 數(shù)據(jù)報文,并發(fā)送攜帶有為源地址的客戶端地址信息和為目的地址的應用服 務器地址信息的原始數(shù)據(jù)報文����;所述應用服務器���,用于接收所述安全代理網(wǎng)關發(fā)送的原始數(shù)據(jù)報文,根 據(jù)與所述原始數(shù)據(jù)報文中客戶端地址信息相匹配的第二安全策略�,對該原始 數(shù)據(jù)報文進行處理。
全文摘要
本發(fā)明實施例公開了一種報文處理方法�,包括接收客戶端通過預先建立的安全通道發(fā)送的認證請求;當認證通過時��,通過所述安全通道向所述客戶端返回對應的安全策略���;接收該客戶端針對所述第一安全策略�����、通過所述安全通道發(fā)送的數(shù)據(jù)報文���,該數(shù)據(jù)報文以安全代理網(wǎng)關地址為當前目的地址,并攜帶有客戶端地址信息和應用服務器地址信息�����;發(fā)送原始數(shù)據(jù)報文,使得應用服務器根據(jù)與所述原始數(shù)據(jù)報文中客戶端地址信息相匹配的安全策略進行處理��。本發(fā)明實施例還公開了安全代理網(wǎng)關��、客戶端及通信系統(tǒng)�����。本發(fā)明實施例中����,安全代理網(wǎng)關發(fā)送的數(shù)據(jù)報文中包含了客戶端地址,應用服務器能夠根據(jù)客戶端地址設定安全策略對數(shù)據(jù)報文進行處理��。
文檔編號H04L12/56GK101399838SQ200810173029
公開日2009年4月1日 申請日期2008年10月29日 優(yōu)先權日2008年10月29日
發(fā)明者宏 孫, 顏慧斌 申請人:成都市華為賽門鐵克科技有限公司