加密,不影响入侵检测、WAF等通过负载信息进行违规、入侵行为的判断和过滤功能。如需要加密也可以和HTTPS结合使用。(5)本发明可以采用外加proxy的方式实现,不用对系统进行很大调整,不需要对原有应用进行修改,适应大多数网络环境的需求,并且具有很好的可移植性。
【附图说明】
[0035]通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0036]图1示意出了根据本发明的一个实施例的网络系统示意图;
[0037]图2示意出了根据本发明的一个实施例的访问网站的方法流程图;
[0038]图3示意出了根据本发明的一个实施例的访问网站的装置结构示意图。
[0039]图4a示意出了根据本发明的一种本地会话表的表项的示例;
[0040]图4b示意出了根据本发明的一种网络会话表的表项的示例;
[0041 ]附图中相同或相似的附图标记代表相同或相似的部件。
【具体实施方式】
[0042]下面结合附图对本发明作进一步详细描述。
[0043]参照图1,图1示意出了根据本发明的一个实施例的网络系统示意图。其中,该网络系统包括包含访问装置的用户设备、包含辅助装置的网络设备和用于提供相应的网络服务的服务器设备。
[0044]优选地,所述服务器设备用于提供与访问网页的初始URL对应的服务。
[0045]其中,根据本发明的方案通过在用户设备中的访问装置和网络设备中的辅助装置来实现。
[0046]优选地,根据本发明所述的访问装置或辅助装置所涉及的软件可以为独立的应用程序,或者,为应用程序中的部分代码。
[0047]更优选地,根据本发明的访问装置或辅助装置可以分别包含于类似proxy等的代理软件中。
[0048]其中,根据本发明的用户设备的访问装置中可保存与访问网页的访问会话对应的本地会话表,网络设备的辅助装置中可保存与访问网页的访问会话对应的网络会话表。
[0049]其中,本地会话表的本地会话表项至少包括与所述访问会话对应的会话标识信息、与所述访问会话对应的用户的用户相关信息,所述访问会话的时间相关信息,以及本次请求的请求顺序信息。
[0050]优选地,根据本发明的本地会话表项还包括本地随机数和空闲标识信息。
[0051]更优选地,本地会话表项还包括用于协助相应的网络设备确定网络随机数的第一随机数。
[0052]其中,所述会话标识信息包括:客户端IP地址、客户端端口信息、服务端IP地址、服务端端口信息。
[0053]优选地,采用该会话标识信息来索引本地会话表中的各个表项。
[0054]其中,根据本发明的用户相关信息包括用户标识信息和用户口令信息。
[0055]参照图4a,图4a示意出了一种本地会话表的表项的示例,其中包括:会话标识信息s、用户标识信息ID、请求序号N、空闲标识信息Idle、本地随机数r、用户口令信息PIN、作为第一随机数的Diffie Heilman私钥信息X、以及作为时间相关信息的用户设备与网络设备的时钟差deltaT。
[0056]其中,所述网络会话表的网络会话表项至少包括相应的会话标识信息,用户标识信息,网络时间信息,以及本次请求的网络请求顺序。
[0057]其中,所述会话标识信息包括:客户端IP地址、客户端端口信息、服务端IP地址、服务端端口信息。
[0058]优选地,根据本发明的网络会话表项还包括网络随机数。
[0059]优选地,采用该会话标识信息来索引网络会话表中的各个表项。
[0060]参照图4b,图4b示意出了一种网络会话表的表项的示例。其中该网络会话表的网络会话表项包括会话标识信息s、用户标识信息ID、请求序号N、空闲标识信息Idle以及网络随机数r。
[0061]接着,参照图2。图2示意出了根据本发明的一个实施例的访问网站的方法流程图。根据本发明的方法,包括由访问装置执行的步骤S101至步骤S104,以及由辅助装置执行的步骤S210至步骤S204。
[0062]在步骤S101中,当请求访问与初始URL对应的网页时,访问装置获取与所述初始URL相应的访问会话对应的、本地会话表中的本地会话表项。
[0063]具体地,当请求访问与初始URL对应的网页时,访问装置基于与所述初始URL对应的会话标识信息在所述本地会话表中查询;如存在与所述会话标识信息对应的本地会话表项时,获取所述本地会话表中,与该会话标识信息对应的本地会话表项;或者,如不存在与所述会话标识信息对应的本地会话表项时,访问装置获取与所述会话标识信息对应的本地会话表项并添加至所述本地会话表中。
[0064]优选地,访问装置可基于会话标识信息的部分信息在本地会话表中查询,以确定是否存在与所述会话标识信息对应的本地会话表项。
[0065]例如,可基于会话标识信息中的客户端IP或者客户端端口信息来进行查询等。
[0066]优选地,本地会话表项所对应的部分信息可通过访问装置与辅助装置的交互协商获得。
[0067]其中,所述访问装置获取与所述会话标识信息对应的本地会话表项并添加至所述本地会话表中的方式包括但不限于:
[0068]1)对于本地会话表项中的请求顺序信息和空闲标识信息,设定其初始值,并将其与会话标识信息相对应地添加至该本地会话表中。
[0069]2)对于本地会话表项中的用户相关信息,获取用户输入的用户标识信息和用户口令信息,并将两者与所述会话标识信息相对应地添加至所述本地会话表中。
[0070]3)对于本地会话表项中的用户相关信息,访问装置向所述网络设备发送时间戳请求。相应地,网络设备中的辅助装置接收来自用户设备的时间戳请求信息;并获取当前时间信息,作为时间戳反馈至所述用户设备并接收所述网络设备反馈的时间戳信息。接着,访问装置基于所述时间戳信息以及本地时间信息,来确定所述时间相关信息,并将其与所述会话标识信息相对应地添加至所述本地会话表中。
[0071]4)对于本地会话表项中的本地随机数,访问装置先基于随机算法来生成第一随机数,接着,基于第一随机数来生成本地公钥,并向所述网络设备发送所述本地公钥;接着,网络设备中的辅助装置接收来自用户设备的本地公钥;基于该所述本地公钥和第二随机数来生成网络随机数,并将所述网络随机数与所述会话标识信息相对应地添加至辅助装置的网络会话表中;接着,辅助装置基于第二随机数来生成网络公钥;向所述用户设备发送所述网络公钥,用户设备中的访问装置接收所述网络设备所反馈的网络公钥,并基于所述网络公钥和所述第一随机数来生成本地随机数并将其与所述会话标识信息相对应地添加至本地会话表中。
[0072]其中,所述网络随机数与所述本地随机数之间采用密钥交换机制来生成。所述本地公钥和所述网络公钥分别基于可使用密钥交换机制的算法,诸如Diffie Heilman算法来获得。
[0073]优选地,3)中所述的时间戳请求和4)中所述的本地公钥可在同一个请求中被发送至网络设备。
[0074]其中,本领域技术人员应能根据实际情况和需求来确定访问装置和辅助装置自动生成会话标识信息的方式,此处不再赘述。
[0075]同样地,本领域技术人员应能根据实际情况和需求确定辅助装置设定请求顺序信息和空闲标识信息的初始值的,以及获取其他网络会话表项的方式,不再赘述。
[0076]优选地,在执行操作前可先分别对访问装置和辅助装置进行必要的初始配置,如对辅助装置配置与其对应的用户相关信息,又例如,对访问装置配置IP和端口,再例如,对访问装置和辅助装置配置执行密钥交换机制所必须的参数信息等。
[0077]更优选地,在初始配置时还可设定访问装置所对应的保护站点列表,当需要访问一初始URL时,先判断该初始URL是否在该保护站点列表中,并对包含在该列表中的初始URL执行如本发明所述的处理操作。
[0078]根据本发明的第一示例,访问装置包含于用户设备的客户端proxy中,辅助装置包含于网络设备的服务器proxy中,并在最初始分别对访问装置和辅助装置进行配置,设定访问装置所对应的本地IP地址和客户端端口信息,并在网络设备的辅助设备中导入合法用户的用户相关信息,例如,用户标识信息及相应的用户口令信息的列表。并且,在访问装置中设置保护站点列表信息。
[0079]为实现密钥交换机制,在访问装置和辅助装置中分别配置Differ Heilman密钥交换机制所需要的Differ Heilman Group号,其中,Group号包括用于确定Diffie Heilman密钥交换机制所采用的参数P和g,其中P为大素数,g是这个大素数的原根,并且P和g允许公开。
[0080]此外,分别设定访问装置的本地会话表的表项中需包含的各个信息项包括如图4a中所示,以及辅助装置的网络会话表的表项中需要包含的各个信息项如图4b中所示。
[0081]随后,当用户首次点击一网站的网页地址url_l时,访问装置获取基于该初始URL,亦即url_l的访问请求,并判断url_l是否包含于访问装置的保护站点列表中,当确定包含于该列表中时,基于身份验证机制,获取用户输入的用户标识信息ID1和用户口令信息PIN1,并且,访问