CN100361443C - 访问控制方法及安全代理服务器 - Google Patents

访问控制方法及安全代理服务器 Download PDF

Info

Publication number
CN100361443C
CN100361443C CNB2004100404726A CN200410040472A CN100361443C CN 100361443 C CN100361443 C CN 100361443C CN B2004100404726 A CNB2004100404726 A CN B2004100404726A CN 200410040472 A CN200410040472 A CN 200410040472A CN 100361443 C CN100361443 C CN 100361443C
Authority
CN
China
Prior art keywords
access control
ssl
acl
handle
ssl proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CNB2004100404726A
Other languages
English (en)
Other versions
CN1738255A (zh
Inventor
杜勇
孟春雷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Maipu Communication Technology Co Ltd
Original Assignee
MAIPU (SICHUAN) COMMUNICATION TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MAIPU (SICHUAN) COMMUNICATION TECHNOLOGY Co Ltd filed Critical MAIPU (SICHUAN) COMMUNICATION TECHNOLOGY Co Ltd
Priority to CNB2004100404726A priority Critical patent/CN100361443C/zh
Publication of CN1738255A publication Critical patent/CN1738255A/zh
Application granted granted Critical
Publication of CN100361443C publication Critical patent/CN100361443C/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

访问控制方法,涉及计算机通信技术,特别涉及基于SSL协议的安全访问控制技术。本发明根据访问控制列表对来自代理客户端的访问作访问控制,所述访问控制列表中记载有用户身份标识模板——处理动作映射关系。本发明的有益效果是:在使用SSL协议进行安全防护的基础上提供了对所代理服务的访问控制功能;对代理范围内的所有应用***可以提供统一的访问控制规划;可以通过对所申请证书中不同的主体DN灵活进行访问权限控制。

Description

访问控制方法及安全代理服务器
技术领域
本发明涉及计算机通信技术,特别涉及基于SSL协议的安全访问控制技术。
背景技术
加密套接字协议层(SSL,Secure Sockets Layer)是一种由Netscape开发的的安全协议。当SSL会话开始后,Web服务器将公共密钥送给浏览器,在服务器和浏览器之间进行协商,生成进行安全传输的加密环境。浏览器和服务器在会话期间,使用该安全环境进行数据交换,从而实现数据传输的机密性和完整性。
在基于SSL协议的应用代理中,在应用代理服务器和应用代理客户端之间使用了SSL/TLS协议来实现机密性和完整性的保护。在应用代理客户端进行访问时,可以保证所代理的服务的机密性和完整性。但是在实际应用中,往往还需要实现对不同用户的访问控制,即哪些用户可以访问哪些服务,这些需求就已经超出了SSL协议的范围。
通常,这种访问是在应用服务***中实现的,即应用***本身提供一套自己的基于权限的访问控制机制,在用户使用该应用***时通过该机制实现对用户的访问控制。
但是这种机制只是对某一个应用***而言的,并不能针对网络中提供的所有服务进行统一的访问控制。
发明内容
本发明所要解决的技术问题是,提供一种基于数字证书中DN(Distinguished Name可识别名)元素的访问控制技术,能够实现在安全代理的同时,对网络中提供的所有服务的统一的访问控制。
本发明解决所述技术问题采用的技术方案是,提供一种访问控制方法,根据访问控制列表对来自SSL代理客户端的访问作访问控制,所述访问控制列表中记载有用户身份标识模板——处理动作映射关系;所述用户身份标识模板为SSL代理客户端证书DN模板。
通过证书主体DN与DN模板匹配的结果识别用户。当SSL代理服务器接收到来自SSL代理客户端的SSL连接时,代理服务器从SSL代理客户端用户的数字证书中提取主体DN,并与所建立的访问控制列表进行匹配;如果能够匹配,则根据匹配结果处理该连接;如果不能匹配,则根据缺省的动作进行处理。所述处理动作包括:允许或拒绝既定种类的访问,或允许或拒绝对某既定地址的既定种类的访问。所述既定地址为既定提供服务的服务器地址,所述既定种类的访问包括HTTP、FTP、或TELNET、或用户自定义的基于TCP的服务种类。
上述“用户身份标识模板”可以为主体DN模板。在对特定的用户,或者说,对主体DN各项属性都得到指定的情况下,表现为主体DN,本文视为DN模板的一种形式。如具体实施方式中的list1。
本发明还提供一种带访问控制的安全代理服务器,包括SSL代理装置,还包括访问控制装置,所述访问控制装置包括存储装置、处理装置;存储装置,存储有访问控制列表;所述访问控制列表中记载有用户身份标识模板——处理动作映射关系;所述用户身份标识模板为SSL代理客户端证书DN模板;处理装置,从SSL代理客户端证书中提取主体DN并与存储装置中的访问控制列表进行匹配,根据匹配结果进行相应的处理。所述相应的处理为:如果能够匹配,则根据匹配结果处理该连接;如果不能匹配,则根据缺省的动作进行处理。
本发明的有益效果是:
1、在使用SSL协议进行安全防护的基础上提供了对所代理服务的访问控制功能;2、对代理范围内的所有应用***可以提供统一的访问控制规划;3、可以通过对所申请证书中不同的主体DN灵活进行访问权限控制。
以下结合说明书附图和具体实施方式对本发明作进一步的说明。
附图说明
图1是本发明具体实施方式中涉及的网络连接示意图。
图2是本发明具体实施方式的流程图。
图3本发明实施例1的网络连接图。
具体实施方式
参见图1和图2,本发明涉及基于SSL协议的代理服务器端和代理客户端。在SSL协议中同时使用服务器端及客户端证书验证,即在SSL代理服务器端使用SSL服务器证书,在SSL代理客户端使用SSL客户端证书,用户在使用时,需要使用SSL客户端证书进行登录,才能与SSL代理服务器连接。由于数字证书中使用主体DN来标识用户的名称,因此基于数字证书的访问控制也就是对主体DN中指明的用户进行访问控制。在SSL代理服务器端实现基于数字证书中主体DN元素的访问控制列表,每条控制列表可以包含若干条目,每一条目由需要匹配的DN模板及处理动作组成,即可以指定主体DN满足某一DN匹配模板的用户的访问权限,该访问权限可以指定为拒绝或者允许。所述DN模板由标准数字证书的主体DN信息抽取出来,是数字证书主体DN字段的组合,
本文所述的数字证书是指采用标准的X509v3证书格式,在该证书格式中包含的信息字段主要有:证书版本号、证书序列号、证书颁发者、证书主体、证书有效期、公钥算法信息等。其中证书颁发者和证书主体都使用DN的方式表示,证书主体是证书的拥有者,而颁发者是指对该证书进行颁发的CA。我们所作的访问控制就是针对证书的拥有者即证书主体进行控制,因此我们使用主体DN作为我们控制的对象。
DN由一系列的相对可识别名(RDN,Relative DistinguishedName)组成,RDN通常包括CN、OU、O、L、ST及C(CN、OU、O、L、ST、C用于标注对象的属性)。我们即以这六项为DN匹配模板的基本元素建立访问控制列表(ACL),当SSL服务器接收到来自客户端的SSL连接时,服务器从客户端用户的数字证书中提取出该用户的DN,并与所建立的ACL进行匹配,如果匹配上,则根据所匹配的ACL条目的动作是允许还是拒绝来确定对该连接的处理,如果匹配不上,则根据缺省的ACL动作进行处理。
具体的说,实施步骤如下:
1、在SSL代理服务器中设置对“HTTP服务”、“FTP服务”及“其它服务”的代理。
2、SSL代理服务器实现为要求对客户端证书进行验证。
3、在SSL代理服务器端建立所需要的访问控制列表。
4、当从SSL代理客户端发来对某一服务的请求时,SSL服务器端根据所定义的访问控制列表及从客户端证书中提取出来的用户DN进行比较,并且根据访问控制列表所指定的动作进行下一步操作。
以下为更具体的实施例,如图3。
在被保护内网与外网之间,布署代理服务器,其外网接口地址为202.115.72.23,内部网接口地址192.168.0.1;代理服务器代理某公司内部网络中的三台不同应用服务器,即HTTP服务器、FTP服务器及其它服务器(如mis***等)。
各服务器所对应的IP地址如下:
192.168.0.23——MIS
192.168.0.25——FTP
192.168.0.27——HTTP
对这三种不同类型的应用的访问权限假设为:
1、公司所有的员工都可以访问HTTP服务器;
2、除公司研究院员工外其它部门的员工都可以访问FTP服务器;
3、只有人力资源部的甲和乙可以访问公司的MIS***。
针对以上的访问权限控制,我们在代理服务器上配置以下访问控制列表:
在证书管理***对员工进行证书颁发时,作以下定义:公司名称定义为:mp;研究院部门名称定义为:R&D;人力资源部门名称定义为:PR。
list1
cn=甲,ou=PR,o=mp,c=cn:permit
cn=乙,ou=PR,o=mp,c=cn:permit
list2
cn=any,ou=any,o=mp,c=cn:permit
list3
cn=any,ou=R&D,o=mp,c=cn:deny
解释如下:
list1:
“cn=甲,ou=PR,o=mp,c=cn”为DN匹配模板,“permit”为对应的处理动作。
若主体DN和“cn=甲,ou=PR,o=mp”匹配,则实施处理动作“允许”;
若主体DN和“cn=乙,ou=PR,o=mp”匹配,则实施处理动作“允许”;
list2:
若主体DN和“o=mp”匹配,则实施处理动作允许;
list3:
若主体DN和“ou=R&D,o=mp”匹配,则实施处理动作“拒绝”。
上述list2和list3中含有“cn=any”,表示cn任意。
将以上所定义的访问控制列表应用到所代理的应用服务上,即可实现对不同服务的访问控制。如下所示:
proxy http 192.168.0.27:80 list 2
proxy ftp 192.168.0.25:21 list 3
proxy mis 192.168.0.23:8888 list 1
解释如下:
对192.168.0.27服务器的http访问应用列表2;
对192.168.0.25服务器的ftp访问应用列表3;
对192.168.0.27服务器的mis访问应用列表1;

Claims (6)

1、访问控制方法,其特征在于,加密套接字协议层SSL代理服务器根据访问控制列表对来自SSL代理客户端的访问作访问控制,所述访问控制列表中记载有用户身份标识模板——处理动作映射关系;
所述用户身份标识模板为SSL代理客户端证书可识别名DN模板。
2、如权利要求1所述的访问控制方法,其特征在于,当SSL代理服务器接收到来自SSL代理客户端的SSL连接时,SSL代理服务器从SSL代理客户端用户的数字证书中提取主体DN,并与所建立的访问控制列表进行匹配;如果能够匹配,则根据匹配结果处理该连接;如果不能匹配,则根据缺省的动作进行处理。
3、如权利要求1所述的访问控制方法,其特征在于,所述处理动作包括:允许或拒绝既定种类的访问。
4、如权利要求1所述的访问控制方法,其特征在于,所述处理动作包括:允许或拒绝对某既定地址的既定种类的访问。
5、如权利要求4所述的访问控制方法,其特征在于,所述既定地址为既定提供服务的服务器地址,所述既定种类的访问包括HTTP、FTP、TELNET或用户自定义的基于TCP的服务种类。
6、一种安全代理服务器,包括加密套接字协议层SSL代理装置,其特征在于,还包括访问控制装置,所述访问控制装置包括:
存储装置,存储有访问控制列表;所述访问控制列表中记载有用户身份标识模板——处理动作映射关系;所述用户身份标识模板为SSL代理客户端证书可识别名DN模板;
处理装置,从SSL代理客户端证书中提取主体DN并与存储装置中的访问控制列表进行匹配,根据匹配结果进行相应的处理;所述相应的处理为:如果能够匹配,则根据匹配结果处理该连接;如果不能匹配,则根据缺省的动作进行处理。
CNB2004100404726A 2004-08-17 2004-08-17 访问控制方法及安全代理服务器 Expired - Fee Related CN100361443C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB2004100404726A CN100361443C (zh) 2004-08-17 2004-08-17 访问控制方法及安全代理服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2004100404726A CN100361443C (zh) 2004-08-17 2004-08-17 访问控制方法及安全代理服务器

Publications (2)

Publication Number Publication Date
CN1738255A CN1738255A (zh) 2006-02-22
CN100361443C true CN100361443C (zh) 2008-01-09

Family

ID=36080923

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2004100404726A Expired - Fee Related CN100361443C (zh) 2004-08-17 2004-08-17 访问控制方法及安全代理服务器

Country Status (1)

Country Link
CN (1) CN100361443C (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101883106A (zh) * 2010-06-30 2010-11-10 赛尔网络有限公司 基于数字证书的网络接入认证方法和网络接入认证服务器

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101043319B (zh) * 2006-03-22 2011-02-02 鸿富锦精密工业(深圳)有限公司 数字内容保护***及方法
CN101127108B (zh) * 2006-08-15 2014-11-05 阿里巴巴集团控股有限公司 一种经一个计算机***访问一个信息源的方法
CN101187965B (zh) * 2006-11-16 2010-12-15 思科技术公司 用于过滤对数据对象的访问的方法和装置
CN101192888B (zh) * 2006-11-21 2012-01-11 中兴通讯股份有限公司 控制gpon终端业务的方法
CN101242336B (zh) * 2008-03-13 2010-12-01 杭州华三通信技术有限公司 远程访问内网Web服务器的方法及Web代理服务器
CN101431516B (zh) * 2008-12-04 2012-04-25 成都市华为赛门铁克科技有限公司 分布式安全策略的实现方法、客户端及通信***
CN103188254A (zh) * 2011-12-31 2013-07-03 北京市国路安信息技术有限公司 一种兼顾内外网信息通畅性和安全性的网络安全保护方法
CN103795568A (zh) * 2014-01-23 2014-05-14 上海斐讯数据通信技术有限公司 一种基于设备管理访问方式控制设备访问的方法
CN105635187B (zh) * 2016-03-30 2019-12-20 北京奎牛科技有限公司 带印模的电子文件的生成方法与装置、认证方法与装置
CN107426339B (zh) * 2017-09-04 2020-05-26 珠海迈越信息技术有限公司 一种数据连接通道的接入方法、装置及***
CN111800402B (zh) * 2020-06-28 2022-08-09 格尔软件股份有限公司 一种利用事件证书实现全链路加密代理的方法
CN111866091B (zh) * 2020-06-30 2023-10-31 海尔优家智能科技(北京)有限公司 用于云平台信息交互的方法及装置、服务器、***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1159234A (zh) * 1995-06-06 1997-09-10 美国电报电话Ipm公司 数据库访问控制的***和方法
CN1178058A (zh) * 1995-02-07 1998-04-01 英国电讯有限公司 信息服务供应与管理
WO2000010303A1 (en) * 1998-08-12 2000-02-24 Kyberpass Corporation Access control using attributes contained within public key certificates
CN1423455A (zh) * 2001-11-22 2003-06-11 深圳市中兴通讯股份有限公司上海第二研究所 一种以太网宽带接入***的用户认证管理方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1178058A (zh) * 1995-02-07 1998-04-01 英国电讯有限公司 信息服务供应与管理
CN1159234A (zh) * 1995-06-06 1997-09-10 美国电报电话Ipm公司 数据库访问控制的***和方法
WO2000010303A1 (en) * 1998-08-12 2000-02-24 Kyberpass Corporation Access control using attributes contained within public key certificates
CN1423455A (zh) * 2001-11-22 2003-06-11 深圳市中兴通讯股份有限公司上海第二研究所 一种以太网宽带接入***的用户认证管理方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101883106A (zh) * 2010-06-30 2010-11-10 赛尔网络有限公司 基于数字证书的网络接入认证方法和网络接入认证服务器

Also Published As

Publication number Publication date
CN1738255A (zh) 2006-02-22

Similar Documents

Publication Publication Date Title
US11805131B2 (en) Methods and systems for virtual file storage and encryption
JP3505058B2 (ja) ネットワークシステムのセキュリティ管理方法
US7647256B2 (en) Techniques for establishing and managing a distributed credential store
US8909925B2 (en) System to secure electronic content, enforce usage policies and provide configurable functionalities
US7921450B1 (en) Security system using indirect key generation from access rules and methods therefor
CN102483792B (zh) 用于共享文档的方法和装置
JP4757430B2 (ja) インターネットサイトに対するアクセス制御方法
CN101341492B (zh) 提供和接收身份相关的信息的方法和***
CN100361443C (zh) 访问控制方法及安全代理服务器
CN106534199B (zh) 大数据环境下基于xacml和saml的分布式***认证与权限管理平台
US20030099353A1 (en) Method of printing a document
JP2003228520A (ja) 保護電子データにオフラインでアクセスする方法及び装置
WO2007048251A1 (en) Method of providing secure access to computer resources
CN108123930A (zh) 访问计算机网络中的主机
JP3660274B2 (ja) 認証書系図の自動追跡方法及びシステム
Kraft Designing a distributed access control processor for network services on the web
CN106685785A (zh) 一种基于IPsec VPN代理的Intranet接入***
CN113037736B (zh) 一种认证鉴权方法、装置、***及计算机存储介质
Spinellis et al. Trusted third party services for deploying secure telemedical applications over the WWW
JP2003131929A (ja) 情報端末および情報ネットワークシステム、ならびにそれらのためのプログラム
Taylor et al. Implementing role based access control for federated information systems on the web
US7007091B2 (en) Method and apparatus for processing subject name included in personal certificate
Rantos et al. Policy-controlled authenticated access to LLN-connected healthcare resources
US20020161999A1 (en) Method and system for expediting delegation of permission
US20020162002A1 (en) Method and system for controlling access to services

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee

Owner name: MAIPU COMMUNICATION TECHNOLOGY CO., LTD.

Free format text: FORMER NAME: MAIPU (SICHUAN) COMMUNICATION TECHNOLOGY CO., LTD.

CP01 Change in the name or title of a patent holder

Address after: Sichuan city of Chengdu province high tech Zone nine Hing Road No. 16 building, Maipu

Patentee after: MAIPU COMMUNICATION TECHNOLOGY Co.,Ltd.

Address before: Sichuan city of Chengdu province high tech Zone nine Hing Road No. 16 building, Maipu

Patentee before: Maipu (Sichuan) communication technology Co.,Ltd.

CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20080109