访问控制方法、装置和网络接入设备制造方法及图纸

本发明专利技术公开了一种访问控制方法、装置和网络接入设备，用以解决现有基于referer字段的访问控制方案适用场景受限的问题。该方法包括：接收来自企业网络第一网络访问请求，第一网络访问请求携带第一URL；判断第一URL是否记录于预先设置的第一白名单；基于第一URL记录于第一白名单的判断结果，向互联网中的服务器转发第一网络访问请求；接收来自所述服务器的对第一网络访问请求的响应；建立第二白名单，所述第二白名单中保存有所述响应中携带的第二URL；接收来自所述企业网络的第二网络访问请求，第二网络访问请求携带第三URL；判断第三URL是否记录于所述第二白名单；基于所述第三URL记录于所述第二白名单的判断结果，向互联网发送所述第二网络访问请求。

【技术实现步骤摘要】

本专利技术涉及计算机及通信
，尤其涉及一种访问控制方法及一种访问控制设备。
技术介绍
随着互联网应用的迅速发展，计算机网络在社会生活的各个领域迅速普及，使得人们获取、共享和传播信息更加方便，但同时也给企业的管理者带来了困扰：员工随意不受控地访问非法网站，不仅严重影响工作效率而且对企业信息安全造成威胁。对于相当多企业的管理者而言，希望员工在上班时间不要访问娱乐、体育、新闻等与工作无关的网站，而是只访问工作相关的网站。基于统一资源定位符(UniformResourceLocator，简称URL)的白名单机制是实现上述目的的一种常见的现有技术。基于URL的白名单机制的实现原理是：在网关、防火墙等网络接入设备中预先存储一个白名单，该白名单中仅包含；网络接入设备接收到来自于所连接的企业网络(例如企业局域网)中的用户发起的网络访问请求后，从网络访问请求中提取请求访问的网络资源的URL，判断所提取的URL是否属于上述白名单；若所提取的URL不属于上述白名单，则阻断该网络访问请求；若所提取的URL属于上述白名单，则将该网络访问请求发送到互联网。目前很多网站页面中都内嵌有其他网站的URL，例如中国软件开发联盟的网站页面URLhttp://bbs.csdn.net/home中内嵌有以图片链接或文字链接方式呈现的猎聘网URLhttp://www.liepin.com/等其网站URL，以图片链接为例，页面URLhttp://bbs.csdn.net/home中的一个静态或动态图片实际是由URLhttp://www.liepin.com/网站下的一个子页面URLhttp://www.liepin.com/ABC来提供展示的。如果阻断用户对于URLhttp://www.liepin.com/的网络访问请求，则URLhttp://bbs.csdn.net/home的页面无法显示完整，造成展示给用户的URLhttp://bbs.csdn.net/home的页面中出现大量乱码、警示框。这将给企业网络的用户造成较差的体验。为了解决上述问题，可以人工地把允许访问的网站页面中内嵌的其他网站的URL也加入白名单中，但显然该方法会大大增加网络维护的工作量。另一种较为可行的是基于referer字段的访问控制方案，基于referer字段的访问控制方案的原理是：网络接入设备在接收到来自于企业网络中的用户的网络访问请求时，判断请求访问的网络资源的URL是否在白名单中，若请求访问的网络资源的URL不在白名单中，则进一步判断该网络访问请求的referer字段中的URL是否在白名单中，如果网络访问请求的referer字段中的URL在白名单中，则将该网络访问请求发送到互联网。因为这表明该网络访问请求是根据referer字段携带的URL所标识的页面中的内嵌链接的指引而发起的。在上面的例子中，在用户发起对于URLhttp://www.liepin.com/的网络访问请求时，判断该网络访问请求中携带的referer字段的内容http://bbs.csdn.net/home是否在白名单中；由于http://bbs.csdn.net/home在白名单中，所以用户发起的对于URLhttp://www.liepin.com/的网络访问请求将被发送到互联网中。然而上述基于referer字段的访问控制方案存在以下问题：首先，适用场景受限，例如用户为了保护隐私，可以通过对浏览器进行设置，使得浏览器在发送网络访问请求时将其中携带的referer字段的内容屏蔽，例如设置为无法识别的内容；现有很多浏览器厂商为了适应用户的需求，在现有的以及未来的浏览器版本中也大多设计为屏蔽referer字段的内容。此外，上述基于referer字段的访问控制方案还存在着可靠性不佳的问题，例如恶意用户可以将referer字段的内容篡改为白名单中的允许访问的URL，从而达到逃避企业实施访问控制的目的。
技术实现思路
本专利技术实施例提供一种访问控制方法，用以解决现有基于referer字段的访问控制方案中存在的适用场景受限的问题。对应地，本专利技术实施例还提供了一种网络接入设备和一种访问控制装置。本专利技术实施例提供的技术方案如下：第一方面，提供了一种访问控制方法，包括：接收来自企业网络的第一网络访问请求，所述第一网络访问请求携带第一URL；判断所述第一URL是否记录于预先设置的第一白名单；基于所述第一URL记录于所述第一白名单的判断结果，向互联网中的服务器转发所述第一网络访问请求；接收来自所述服务器的对所述第一网络访问请求的响应；建立第二白名单，所述第二白名单中保存有所述响应中携带的至少一个第二URL；接收来自所述企业网络的第二网络访问请求，所述第二网络访问请求携带第三URL；判断所述第三URL是否记录于所述第二白名单；基于所述第三URL记录于所述第二白名单的判断结果，向互联网发送所述第二网络访问请求。在第一方面的第一种可能的实现方式中，在建立第二白名单之前，还包括：确定第一网络访问请求属于新建会话，所述新建会话是指完成用以建立会话的三次握手且未交互业务数据的会话，基于上述确定结果，建立第二白名单。结合第一方面的第一种可能的实现方式，在第一方面的第二种可能的实现方式中，所述判断所述第三URL是否记录于所述第二白名单之前，还包括：确定所述第二网络访问请求属于所述第一网络访问请求所在的会话；基于确定结果，执行判断所述第三URL是否记录于所述第二白名单的步骤。结合第一方面的第二种可能的实现方式，在第一方面的第三种可能的实现方式中，在判断所述第三URL是否记录于所述第二白名单的步骤之前，包括：判断所述第三URL是否属于第一白名单；基于所述第三URL不属于所述第一白名单的判断结果，执行所述判断所述第三URL是否记录于所述第二白名单的步骤。结合第一方面的第二种可能的实现方式，在第一方面的第四种可能的实现方式中，所述基于所述第二网络访问请求属于所述第一网络访问请求所在的会话的确定结果，执行判断所述第三URL是否记录于所述第二白名单的步骤之后，还包括：基于所述第三URL未记录于所述第二白名单的确定结果，确定所述第三URL是否属于所述第一白名单；基于所述第三URL属于所述第一白名单的确定结果，发送所述第二网络访问请求；基于所述第三URL不属于所述第一白名单的确定结果，阻断所述第二网络访问请求。结合第一方面、或第一方面的第一种可能的实现方式，在第一方面的第五种可能的实现方式中，所述判断所述第三URL是否记录于所述第二白名单之前，还包括：基于所述第二网络访问请求不属于所述第一网络访问请求所在的会话的确定结果，判断所述第三URL是否记录于所述第一白名单；基于所述第三URL未记录于所述第一白名单的判断结果，执行判断所述第三URL是否记录于所述第二白名单的步骤。结合第一方面的第五种本文档来自技高网...

【技术保护点】
一种访问控制方法，其特征在于，包括：接收来自企业网络的第一网络访问请求，所述第一网络访问请求携带第一URL；判断所述第一URL是否记录于预先设置的第一白名单；基于所述第一URL记录于所述第一白名单的判断结果，向互联网中的服务器转发所述第一网络访问请求；接收来自所述服务器的对所述第一网络访问请求的响应；建立第二白名单，所述第二白名单中保存有所述响应中携带的至少一个第二URL；接收来自所述企业网络的第二网络访问请求，所述第二网络访问请求携带第三URL；判断所述第三URL是否记录于所述第二白名单；基于所述第三URL记录于所述第二白名单的判断结果，向互联网发送所述第二网络访问请求。

【技术特征摘要】
1.一种访问控制方法，其特征在于，包括：
接收来自企业网络的第一网络访问请求，所述第一网络访问请求携带第一
URL；
判断所述第一URL是否记录于预先设置的第一白名单；
基于所述第一URL记录于所述第一白名单的判断结果，向互联网中的服务
器转发所述第一网络访问请求；
接收来自所述服务器的对所述第一网络访问请求的响应；
建立第二白名单，所述第二白名单中保存有所述响应中携带的至少一个第
二URL；
接收来自所述企业网络的第二网络访问请求，所述第二网络访问请求携带
第三URL；
判断所述第三URL是否记录于所述第二白名单；
基于所述第三URL记录于所述第二白名单的判断结果，向互联网发送所述
第二网络访问请求。
2.根据权利要求1所述的方法，其特征在于，在建立第二白名单之前，
还包括：
确定第一网络访问请求属于新建会话，所述新建会话是指完成用以建立会
话的三次握手且未交互业务数据的会话，基于上述确定结果，建立第二白名单。
3.根据权利要求2所述的方法，其特征在于，所述判断所述第三URL是
否记录于所述第二白名单之前，还包括：
确定所述第二网络访问请求属于所述第一网络访问请求所在的会话；
基于确定结果，执行判断所述第三URL是否记录于所述第二白名单的步骤。
4.根据权利要求1或2所述的方法，其特征在于，所述判断所述第三URL
是否记录于所述第二白名单之前，还包括：
基于所述第二网络访问请求不属于所述第一网络访问请求所在的会话的
确定结果，判断所述第三URL是否记录于所述第一白名单；
基于所述第三URL未记录于所述第一白名单的判断结果，执行判断所述第
三URL是否记录于所述第二白名单的步骤。
5.根据权利要求4任一所述的方法，其特征在于，所述第二白名单中还
包括时间戳、以及所述第一网络访问请求携带的用户代理标识、源地址，所述
时间戳为接收到所述第一网络访问请求的时间、或接收到所述第一网络访问请
求对应的响应的时间；
基于所述第三URL记录于所述第二白名单的判断结果，向服务器发送所述
第二网络访问请求的步骤，包括：
基于所述第三URL记录于所述第二白名单的判断结果，确定所述第二网络
访问请求的源地址与所述第二白名单中的源地址是否相同、所述第二网络访问
请求携带的用户代理标识与所述第二白名单中的用户代理标识是否相同、接收
到所述第二网络访问请求的时间与所述第二白名单中的时间戳之间的差值是
否在预先设定的范围内；
基于所述第二网络访问请求的源地址与所述第二白名单中的源地址相同、
所述第二网络访问请求携带的用户代理标识与所述第二白名单中的用户代理
标识相同、且接收到所述第二网络访问请求的时间与所述第二白名单中的时间
戳之间的差值在预先设定的范围内的确定结果，执行所述向互联网发送所述第
二网络访问请求的步骤。
6.根据权利要求1至5中任一所述的方法，其特征在于，所述建立第二
白名单之后，还包括：
设定所述第二白名单对应的老化时间，所述老化时间用于指示所述第二白
名单保存的时间长度。
7.一种网络接入设备，其特征在于，包括存储器、处理器以及网络接口，
所述存储器、所述处理器以及所述网络接口通过总线连接，
所述网络接口用于接收来自企业网络的第一网络访问请求，所述第一网络
访问请求携带第一URL；
所述处理器用于读取所述存储器中存储的程序代码，执行以下操作：
判断所述第一URL是否记录于预先设置的第一白名单；
基于所述第一URL记录于所述第一白名单的判断结果，指示所述网络接口
向所述服务器转发所述第一网络访问请...

【专利技术属性】
技术研发人员：章海刚，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东;44