访问控制方法及安全代理服务器

1、访问控制方法，其特征在于，加密套接字协议层SSL代理服 务器根据访问控制列表对来自SSL代理客户端的访问作访问控制，所 述访问控制列表中记载有用户身份标识模板——处理动作映射关系；
所述用户身份标识模板为SSL代理客户端证书可识别名DN模板。
2、如权利要求1所述的访问控制方法，其特征在于，当SSL代 理服务器接收到来自SSL代理客户端的SSL连接时，SSL代理服务器 从SSL代理客户端用户的数字证书中提取主体DN，并与所建立的访 问控制列表进行匹配；如果能够匹配，则根据匹配结果处理该连接； 如果不能匹配，则根据缺省的动作进行处理。
3、如权利要求1所述的访问控制方法，其特征在于，所述处理 动作包括：允许或拒绝既定种类的访问。
4、如权利要求1所述的访问控制方法，其特征在于，所述处理 动作包括：允许或拒绝对某既定地址的既定种类的访问。
5、如权利要求4所述的访问控制方法，其特征在于，所述既定 地址为既定提供服务的服务器地址，所述既定种类的访问包括HTTP、 FTP、TELNET或用户自定义的基于TCP的服务种类。
6、一种安全代理服务器，包括加密套接字协议层SSL代理装置，其 特征在于，还包括访问控制装置，所述访问控制装置包括：
存储装置，存储有访问控制列表；所述访问控制列表中记载有用 户身份标识模板——处理动作映射关系；所述用户身份标识模板为 SSL代理客户端证书可识别名DN模板；
处理装置，从SSL代理客户端证书中提取主体DN并与存储装置 中的访问控制列表进行匹配，根据匹配结果进行相应的处理；所述相 应的处理为：如果能够匹配，则根据匹配结果处理该连接；如果不能 匹配，则根据缺省的动作进行处理。

技术领域\n本发明涉及计算机通信技术，特别涉及基于SSL协议的安全访问 控制技术。\n背景技术\n加密套接字协议层(SSL，Secure Sockets Layer)是一种由 Netscape开发的的安全协议。当SSL会话开始后，Web服务器将公共 密钥送给浏览器，在服务器和浏览器之间进行协商，生成进行安全传 输的加密环境。浏览器和服务器在会话期间，使用该安全环境进行数 据交换，从而实现数据传输的机密性和完整性。\n在基于SSL协议的应用代理中，在应用代理服务器和应用代理客 户端之间使用了SSL/TLS协议来实现机密性和完整性的保护。在应 用代理客户端进行访问时，可以保证所代理的服务的机密性和完整 性。但是在实际应用中，往往还需要实现对不同用户的访问控制，即 哪些用户可以访问哪些服务，这些需求就已经超出了SSL协议的范 围。\n通常，这种访问是在应用服务系统中实现的，即应用系统本身提 供一套自己的基于权限的访问控制机制，在用户使用该应用系统时通 过该机制实现对用户的访问控制。\n但是这种机制只是对某一个应用系统而言的，并不能针对网络中 提供的所有服务进行统一的访问控制。\n发明内容\n本发明所要解决的技术问题是，提供一种基于数字证书中 DN(Distinguished Name可识别名)元素的访问控制技术，能够实现 在安全代理的同时，对网络中提供的所有服务的统一的访问控制。\n本发明解决所述技术问题采用的技术方案是，提供一种访问控制 方法，根据访问控制列表对来自SSL代理客户端的访问作访问控制， 所述访问控制列表中记载有用户身份标识模板——处理动作映射关 系；所述用户身份标识模板为SSL代理客户端证书DN模板。\n通过证书主体DN与DN模板匹配的结果识别用户。当SSL代理服 务器接收到来自SSL代理客户端的SSL连接时，代理服务器从SSL代 理客户端用户的数字证书中提取主体DN，并与所建立的访问控制列 表进行匹配；如果能够匹配，则根据匹配结果处理该连接；如果不能 匹配，则根据缺省的动作进行处理。所述处理动作包括：允许或拒绝 既定种类的访问，或允许或拒绝对某既定地址的既定种类的访问。所 述既定地址为既定提供服务的服务器地址，所述既定种类的访问包括 HTTP、FTP、或TELNET、或用户自定义的基于TCP的服务种类。\n上述“用户身份标识模板”可以为主体DN模板。在对特定的用 户，或者说，对主体DN各项属性都得到指定的情况下，表现为主体 DN，本文视为DN模板的一种形式。如具体实施方式中的list1。\n本发明还提供一种带访问控制的安全代理服务器，包括SSL代理 装置，还包括访问控制装置，所述访问控制装置包括存储装置、处理 装置；存储装置，存储有访问控制列表；所述访问控制列表中记载有 用户身份标识模板——处理动作映射关系；所述用户身份标识模板为 SSL代理客户端证书DN模板；处理装置，从SSL代理客户端证书中 提取主体DN并与存储装置中的访问控制列表进行匹配，根据匹配结 果进行相应的处理。所述相应的处理为：如果能够匹配，则根据匹配 结果处理该连接；如果不能匹配，则根据缺省的动作进行处理。\n本发明的有益效果是：\n1、在使用SSL协议进行安全防护的基础上提供了对所代理服 务的访问控制功能；2、对代理范围内的所有应用系统可以提供统一 的访问控制规划；3、可以通过对所申请证书中不同的主体DN灵活进 行访问权限控制。\n以下结合说明书附图和具体实施方式对本发明作进一步的说明。\n附图说明\n图1是本发明具体实施方式中涉及的网络连接示意图。\n图2是本发明具体实施方式的流程图。\n图3本发明实施例1的网络连接图。\n具体实施方式\n参见图1和图2，本发明涉及基于SSL协议的代理服务器端和代 理客户端。在SSL协议中同时使用服务器端及客户端证书验证，即在 SSL代理服务器端使用SSL服务器证书，在SSL代理客户端使用SSL 客户端证书，用户在使用时，需要使用SSL客户端证书进行登录，才 能与SSL代理服务器连接。由于数字证书中使用主体DN来标识用户 的名称，因此基于数字证书的访问控制也就是对主体DN中指明的用 户进行访问控制。在SSL代理服务器端实现基于数字证书中主体DN 元素的访问控制列表，每条控制列表可以包含若干条目，每一条目由 需要匹配的DN模板及处理动作组成，即可以指定主体DN满足某一 DN匹配模板的用户的访问权限，该访问权限可以指定为拒绝或者允 许。所述DN模板由标准数字证书的主体DN信息抽取出来，是数字证 书主体DN字段的组合，\n本文所述的数字证书是指采用标准的X509v3证书格式，在该证 书格式中包含的信息字段主要有：证书版本号、证书序列号、证书颁 发者、证书主体、证书有效期、公钥算法信息等。其中证书颁发者和 证书主体都使用DN的方式表示，证书主体是证书的拥有者，而颁发 者是指对该证书进行颁发的CA。我们所作的访问控制就是针对证书 的拥有者即证书主体进行控制，因此我们使用主体DN作为我们控制 的对象。\nDN由一系列的相对可识别名(RDN，Relative Distinguished Name)组成，RDN通常包括CN、OU、O、L、ST及C(CN、OU、O、L、 ST、C用于标注对象的属性)。我们即以这六项为DN匹配模板的基本 元素建立访问控制列表(ACL)，当SSL服务器接收到来自客户端的 SSL连接时，服务器从客户端用户的数字证书中提取出该用户的DN， 并与所建立的ACL进行匹配，如果匹配上，则根据所匹配的ACL条目 的动作是允许还是拒绝来确定对该连接的处理，如果匹配不上，则根 据缺省的ACL动作进行处理。\n具体的说，实施步骤如下：\n1、在SSL代理服务器中设置对“HTTP服务”、“FTP服务”及 “其它服务”的代理。\n2、SSL代理服务器实现为要求对客户端证书进行验证。\n3、在SSL代理服务器端建立所需要的访问控制列表。\n4、当从SSL代理客户端发来对某一服务的请求时，SSL服务器 端根据所定义的访问控制列表及从客户端证书中提取出来的用户DN 进行比较，并且根据访问控制列表所指定的动作进行下一步操作。\n以下为更具体的实施例，如图3。\n在被保护内网与外网之间，布署代理服务器，其外网接口地址为 202.115.72.23，内部网接口地址192.168.0.1；代理服务器代理某 公司内部网络中的三台不同应用服务器，即HTTP服务器、FTP服务 器及其它服务器(如mis系统等)。\n各服务器所对应的IP地址如下：\n192.168.0.23——MIS\n192.168.0.25——FTP\n192.168.0.27——HTTP\n对这三种不同类型的应用的访问权限假设为：\n1、公司所有的员工都可以访问HTTP服务器；\n2、除公司研究院员工外其它部门的员工都可以访问FTP服务器；\n3、只有人力资源部的甲和乙可以访问公司的MIS系统。\n针对以上的访问权限控制，我们在代理服务器上配置以下访问控 制列表：\n在证书管理系统对员工进行证书颁发时，作以下定义：公司名称 定义为：mp；研究院部门名称定义为：R&D；人力资源部门名称定义 为：PR。\nlist1\ncn＝甲，ou＝PR，o＝mp，c＝cn:permit\ncn＝乙，ou＝PR，o＝mp，c＝cn:permit\nlist2\ncn＝any，ou＝any，o＝mp，c＝cn:permit\nlist3\ncn＝any，ou＝R&D，o＝mp，c＝cn:deny\n解释如下：\nlist1：\n“cn＝甲，ou＝PR，o＝mp，c＝cn”为DN匹配模板，“permit”为对应 的处理动作。\n若主体DN和“cn＝甲，ou＝PR，o＝mp”匹配，则实施处理动作“允 许”；\n若主体DN和“cn＝乙，ou＝PR，o＝mp”匹配，则实施处理动作“允 许”；\nlist2：\n若主体DN和“o＝mp”匹配，则实施处理动作允许；\nlist3：\n若主体DN和“ou＝R&D，o＝mp”匹配，则实施处理动作“拒绝”。\n上述list2和list3中含有“cn＝any”，表示cn任意。\n将以上所定义的访问控制列表应用到所代理的应用服务上，即可 实现对不同服务的访问控制。如下所示：\nproxy http 192.168.0.27:80 list 2\nproxy ftp 192.168.0.25:21 list 3\nproxy mis 192.168.0.23:8888 list 1\n解释如下：\n对192.168.0.27服务器的http访问应用列表2；\n对192.168.0.25服务器的ftp访问应用列表3；\n对192.168.0.27服务器的mis访问应用列表1；