CN110995658A - 网关保护方法、装置、计算机设备及存储介质 - Google Patents
网关保护方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN110995658A CN110995658A CN201911097488.3A CN201911097488A CN110995658A CN 110995658 A CN110995658 A CN 110995658A CN 201911097488 A CN201911097488 A CN 201911097488A CN 110995658 A CN110995658 A CN 110995658A
- Authority
- CN
- China
- Prior art keywords
- request
- verification
- message data
- interface
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例属于信息安全领域,涉及网关保护方法、装置、计算机设备及存储介质,该方法包括:接收请求终端发送的携带有报文数据的访问请求;响应所述访问请求,判断所述报文数据是否满足接口匹配条件;若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。本申请能够屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性;同时保证了传输数据的信息安全。
Description
技术领域
本申请涉及信息安全技术领域,尤其涉及网关保护方法、装置、计算机设备及存储介质。
背景技术
在互联网发展的今天,设备之间的联系越来越紧密,设备之间进行数据传输过程当中存在的安全问题越来越受到关注。当前网络设备所处的网络环境爆发高危病毒且预警***不能及时清除高危病毒或者进行***修复时,用户因不易及时察觉而很难及时采取有效措施进行应对,也不能有效地保护网络设备的安全。
现有一种网关保护方法,通过实时记录拦截对网络设备构成安全威胁的事件的次数,若某时间节点上该网络设备被攻击的次数达到预设阈值,则发出对应该时间节点的预警信息。从而实现网络设备的安全保护。
然而,传统的网关保护方法普遍不智能,在外部请求到网关之间不存在限制情况下,外部请求仍然可以随意连接至网关,若网关的端口被暴露,则网关仍然会面临着被暴力攻击的危险,所以现有的网关仍然存在极大的安全隐患。
发明内容
本申请实施例的目的在于提出一种网关保护方法,旨在解决现有的网关保护方法仍然会面临着被暴力攻击的危险,存在极大的安全隐患的问题。
为了解决上述技术问题,本申请实施例提供一种网关保护方法,采用了如下所述的技术方案:
接收请求终端发送的携带有报文数据的访问请求;
响应所述访问请求,判断所述报文数据是否满足接口匹配条件;
若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;
若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;
若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;
若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。
为了解决上述技术问题,本申请实施例还提供一种网关保护装置,采用了如下所述的技术方案:
请求接收模块,用于接收请求终端发送的携带有报文数据的访问请求;
接口匹配模块,用于响应所述访问请求,判断所述报文数据是否满足接口匹配条件;
匹配失败模块,用于若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;
签名验证模块,用于若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;
验证成功模块,用于若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;
验证失败模块,用于若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。
为了解决上述技术问题,本申请实施例还提供一种计算机设备,采用了如下所述的技术方案:
包括存储器和处理器;
所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现如上所述的网关保护方法的步骤。
为了解决上述技术问题,本申请实施例还提供一种计算机可读存储介质,采用了如下所述的技术方案:
所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的网关保护方法的步骤。
与现有技术相比,本申请实施例主要有以下有益效果:
本发明申请提供了一种网关保护方法,接收请求终端发送的携带有报文数据的访问请求;响应所述访问请求,判断所述报文数据是否满足接口匹配条件;若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。通过在接收到外部请求时,先进行接口匹配操作,只有匹配成功才接收外部请求进行后续处理,从而能够屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性;同时,通过验证报文数据保证了访问请求内容的不可篡改,保证了数据的信息安全。
附图说明
为了更清楚地说明本申请中的方案,下面将对本申请实施例描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获取其他的附图。
图1是本发明实施例一提供的网关保护方法的实现流程图;
图2是图1中步骤S102的实现流程图;
图3是图1中步骤S104的一种实现流程图;
图4是图1中步骤S104的另一种实现流程图;
图5是图1中步骤S104的再一种实现流程图;
图6是本发明实施例一提供的响应请求处理方法的实现流程图;
图7是本发明实施例二所提供的网关保护装置的结构示意图;
图8是本发明实施例二所提供的接口匹配模块的结构示意图;
图9是根据本申请的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本申请;本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本申请的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本申请方案,下面将结合附图,对本申请实施例中的技术方案进行清楚、完整地描述。
本发明实施例提供的网关保护方法,通过在接收到外部请求时,先进行接口匹配操作,只有匹配成功才接收外部请求进行后续处理,从而能够屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性;同时,通过验证报文数据保证了访问请求内容的不可篡改,保证了数据的信息安全。
实施例一
图1示出了本发明实施例一提供的网关保护方法的实现流程图,为了便于说明,仅示出与本发明相关的部分。
在步骤S101中,接收请求终端发送的携带有报文数据的访问请求。
在本发明实施例中,请求终端可以是诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端,应当理解,此处对请求终端的举例仅为方便理解,不用于限定本发明。
在本发明实施例中,报文数据指的是在各个***之间进行请求和响应时用来交换信息的,还需要遵守规定好的格式的信息载体。
在步骤S102中,响应所述访问请求,判断所述报文数据是否满足接口匹配条件。
在本发明实施例中,***会预设有接口的的筛选条件,该接口筛选条件可以设置为webservice接口;该接口筛选条件还可以设置为http api接口,应当理解,此处对接口匹配条件的举例仅为方便理解,不用于限定本发明。
在本发明实施例中,网关接收到报文数据后,会对报文数据进行拆分,从而获取该请求对应的接口数据,如果该接口数据不符合匹配条件,则网关会自动忽略该访问请求,从而实现屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性。
在步骤S103中,若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号。
在本发明实施例中,通过向请求终端输出匹配失败信号,以向该请求终端告知该访问请求是由于接口匹配不成功导致的,以便请求终端就该匹配失败信号进行及时纠正处理。
在步骤S104中,若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件。
在本发明实施例中,验证条件用于验证该报文数据的内容数据是否被第三方恶意篡改,该验证条件可以是基于数字签名进行信息安全的验证。
在步骤S105中,若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***。
在本发明实施例中,预设的路由规则指的是***数据库中预先存储有报文数据标识与内部业务***的对应关系,当需要向内部业务***进行数据请求时,可基于该对应关系查获与该报文数据相对应的传输对象。
在本发明实施例中,业务***指的是提供给基础人员使用的***,是对业务处理过程进行针对性支持的信息***,能够为某项工作的完成提供有力的工具支撑。比如ERP***,我们可以看作是典型的业务处理型***,它能够对相关生产、采购等业务环节,基于某些功能模块提供很好的支持。
在步骤S106中,若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。
在本发明实施例中,通过向请求终端输出验证失败信号,以向该请求终端告知该访问请求已被第三方恶意篡改,访问内容存在安全隐患,以便请求终端采取及时的保护措施。
在本发明实施例中,提供了一种网关保护方法,接收请求终端发送的携带有报文数据的访问请求;响应所述访问请求,判断所述报文数据是否满足接口匹配条件;若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。通过在接收到外部请求时,先进行接口匹配操作,只有匹配成功才接收外部请求进行后续处理,从而能够屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性;同时,通过验证报文数据保证了访问请求内容的不可篡改,保证了数据的信息安全。
继续参考图2,示出了图1中步骤S102的实现流程图,为了便于说明,仅示出与本发明相关的部分。
作为实施例一的一些可选实现方式中,上述步骤S102具体包括:步骤S201以及步骤S202。
在步骤S201中,对所述报文数据进行拆分操作,获取访问接口数据。
在本发明实施例中,由于报文数据是按照规定格式进行编写的,因此,可以根据报文数据中与接口模块相对应的数据信息进行拆分并采集,从而获取接口数据信息。
在本发明实施例中,接口数据信息指的是传输参数的方式。
在步骤S202中,读取***数据库,判断所述***数据库中是否存在与所请求接口数据相对应的匹配接口数据。
在本发明实施例中,***数据库指的是存储有请求终端发布的接口信息的关系型数据库管理***,使得该请求终端发布的接口信息与访问请求中的报文数据进行关联。
在本发明实施例中,当网关接收到请求终端未发布的接口信息,那么说明该访问请求会对网关***进行暴力攻击。
在本发明实施例中,该接口数据可以限定为统一资源定位***(uniformresource locator;URL)。
在本发明实施例中,网关***接收到报文数据后,需要先对报文请求中的接口数据进行一次安全验证操作,判断在接收到该报文数据之前是否接收到与该报文数据相对应的外部***发布的接口信息,只有匹配成功才接收外部请求进行后续处理,从而能够屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性。
继续参考图3,示出了图1中步骤S104的一种实现流程图,为了便于说明,仅示出与本发明相关的部分。
作为本发明实施例一的一些可选实现方式中,上述步骤S104中,具体包括:步骤S301、步骤S302、步骤S303以及步骤S304。
在步骤S301中,对所述报文数据进行请求方法提取操作,获取请求方法信息。
在本发明实施例中,在报文数据的报文头中会标注有报文数据的请求方法,通过报文数据的规范格式即可获取请求方法的标注位置,从而实现请求方法的提取操作。
在本发明实施例中,请求方法指的是以POST请求的方法参数报文。
在步骤S302中,判断所述请求方法信息是否为POST请求方法。
在步骤S303中,若所述请求方法信息不为POST请求方法,则向所述请求终端输出请求方法有误信号。
在本发明实施例中,通过向请求终端发送请求方法有误信号,从而向该请求终端告知本网关不处理除POST请求以外的报文数据,以便用户改用POST请求的方法进行访问。
在步骤S304中,若所述请求方法信息为POST请求方法,则执行所述判断所述报文数据是否满足验证条件的步骤。
在本发明实施例中,通过规范报文数据的请求方法,从而进一步限制拦截的对网络设备构成安全威胁的访问请求,使得网关在被暴露的情况下依然保持较好的安全性。
继续参考图4,示出了图1中步骤S104的另一种实现流程图,为了便于说明,仅示出与本发明相关的部分。
作为本发明实施例一的一些可选实现方式中,上述步骤S104具体包括:步骤S401、步骤S402、步骤S403以及步骤S404。
在步骤S401中,对所述报文数据进行请求内容提取操作,获取请求内容信息。
在本发明实施例中,可以通过获取报文数据的header位置的信息,该header位置的信息即为该报文数据的请求内容信息。
在步骤S402中,判断所述请求内容信息是否为文件上传请求。
在步骤S403中,若所述请求内容信息不为文件上传请求,则执行所述判断所述报文数据是否满足验证条件的步骤。
在步骤S404中,若所述请求内容信息为文件上传请求,则获取与所述文件上传请求相对应的文件类型。
在步骤S405中,基于正则表达式判断所述文件类型是否规范。
在本发明实施例中,正则表达式又称规则表达式。(英语:Regular Expression,在代码中常简写为regex、regexp或RE),计算机科学的一个概念。通常被用来检索、替换那些符合某个模式(规则)的文本。
在步骤S406中,若所述文件类型不规范,则向所述请求终端输出类型错误信号。
在步骤S407中,若所述文件类型规范,则执行所述判断所述报文数据是否满足验证条件的步骤。
在本发明实施例中,当保温数据的请求内容为文件上传请求时,通过规范文件上传的类型,从而有效规避恶意文件的上传导致业务***被攻击的隐含,有效提高网关***的保护能力。
继续参考图5,示出了图1中步骤S104的再一种实现流程图,为了便于说明,仅示出与本发明相关的部分。
作为本发明实施例一的一些可选实现方式中,上述步骤S104具体包括:步骤S501、步骤S502、步骤S503以及步骤S504。
在步骤S501中,读取签名服务器,在所述签名服务器中获取与所述密钥标识相对应的签名公钥。
在本发明实施例中,签名服务器存储有每个***的密钥信息,每个密钥都会通过唯一的密钥标识进行标记。
在步骤S502中,对所述报文数据进行请求参数提取操作,获取请求参数信息。
在本发明实施例中,报文数据的数据表头中存储有参数信息,该参数信息用于进行签名验证的过程中通过上述密钥进行签名运算以获取待验证的签名。
在步骤S503中,基于key-value以及所述签名公钥对所述请求参数信息进行全名生成操作,获取待验签名信息。
在步骤S504中,判断所述原始签名信息与所述待验签名信息是否一致。
在本发明实施例中,外部***的目标是访问内部业务***,签名服务器保存了每个***的签名私钥,每一个签名私钥都会对应一个certID。通讯过程通过certID去我们的签名服务器拿签名私钥,使外部无法知道我们查找签名私钥的方式、加密方式、加密算法等信息,这样就提高了签名私钥的安全性。
进一步的,签名服务器提供了维护签名私钥信息的管理工具,可以由管理维护签名私钥的生成,更新,作废等操作。这些定时或随机的操作,可以提高签名私钥的保密性。当一个***需要接进来的时候,需要将签名私钥和***标识注册进来,然后才生成certID。用certID来传输,可以避免签名私钥在传输过程泄露导致业务***被攻击。
继续参考图6,示出了本发明实施例一提供的响应请求处理方法的实现流程图,为了便于说明,仅示出与本发明相关的部分。
作为实施例一的一些可选实现方式中,上述步骤S106之后,还包括:步骤S601、步骤S602、步骤S603以及步骤S604。
在步骤S601中,接收所述业务***发送的携带有密钥标识以及响应报文的响应信息。
在步骤S602中,读取签名服务器,在所述签名服务器中获取与所述密钥标识相对应的签名私钥。
在步骤S603中,根据所述签名私钥对所述响应报文进行签名操作,获取响应请求。
在步骤S604中,将所述响应请求发送至所述请求终端。
在本发明实施例中,业务***处理完访问请求后,会将其签名私钥标识和报文返回网关***,此时网关***会提取响应报文体的签名私钥标识,然后通过这个密钥标识到签名服务器获取其对应的签名私钥签名私钥,对密钥标识加入签名,签名成功,则将响应报文发送至请求终端,从而实现业务***响应该访问***的信息传输。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,该计算机程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
实施例二
进一步参考图7作为对上述图1所示方法的实现,本申请提供了一种网关保护装置,该装置实施例与图1所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如与图7所示,本发明实施例二所提供的网关保护装置100包括:请求接收模块101、接口匹配模块102、匹配失败模块103、签名验证模块104、验证成功模块105以及验证失败模块106。其中:
请求接收模块101,用于接收请求终端发送的携带有报文数据的访问请求;
接口匹配模块102,用于响应所述访问请求,判断所述报文数据是否满足接口匹配条件;
匹配失败模块103,用于若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;
签名验证模块104,用于若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;
验证成功模块105,用于若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;
验证失败模块106,用于若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。
在本发明实施例中,请求终端可以是诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端,应当理解,此处对请求终端的举例仅为方便理解,不用于限定本发明。
在本发明实施例中,报文数据指的是在各个***之间进行请求和响应时用来交换信息的,还需要遵守规定好的格式的信息载体。
在本发明实施例中,***会预设有接口的的筛选条件,该接口筛选条件可以设置为webservice接口;该接口筛选条件还可以设置为http api接口,应当理解,此处对接口匹配条件的举例仅为方便理解,不用于限定本发明。
在本发明实施例中,网关接收到报文数据后,会对报文数据进行拆分,从而获取该请求对应的接口数据,如果该接口数据不符合匹配条件,则网关会自动忽略该访问请求,从而实现屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性。
在本发明实施例中,通过向请求终端输出匹配失败信号,以向该请求终端告知该访问请求是由于接口匹配不成功导致的,以便请求终端就该匹配失败信号进行及时纠正处理。
在本发明实施例中,验证条件用于验证该报文数据的内容数据是否被第三方恶意篡改,该验证条件可以是基于数字签名进行信息安全的验证。
在本发明实施例中,预设的路由规则指的是***数据库中预先存储有报文数据标识与内部业务***的对应关系,当需要向内部业务***进行数据请求时,可基于该对应关系查获与该报文数据相对应的传输对象。
在本发明实施例中,业务***指的是提供给基础人员使用的***,是对业务处理过程进行针对性支持的信息***,能够为某项工作的完成提供有力的工具支撑。比如ERP***,我们可以看作是典型的业务处理型***,它能够对相关生产、采购等业务环节,基于某些功能模块提供很好的支持。
在本发明实施例中,通过向请求终端输出验证失败信号,以向该请求终端告知该访问请求已被第三方恶意篡改,访问内容存在安全隐患,以便请求终端采取及时的保护措施。
在本发明实施例中,提供了一种网关保护装置,包括:请求接收模块,用于接收请求终端发送的携带有报文数据的访问请求;接口匹配模块,用于响应所述访问请求,判断所述报文数据是否满足接口匹配条件;匹配失败模块,用于若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;签名验证模块,用于若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;验证成功模块,用于若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;验证失败模块,用于若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。通过在接收到外部请求时,先进行接口匹配操作,只有匹配成功才接收外部请求进行后续处理,从而能够屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性;同时,通过验证报文数据保证了访问请求内容的不可篡改,保证了数据的信息安全。
在本发明实施例二的一些可选的实现方式中,如图8所示,上述接口匹配模块102包括:借口获取子模块1021以及接口匹配子模块1022。其中:
借口获取子模块1021,用于对所述报文数据进行拆分操作,获取访问接口数据;
接口匹配子模块1022,用于读取***数据库,判断所述***数据库中是否存在与所请求接口数据相对应的匹配接口数据。
在本发明实施例中,由于报文数据是按照规定格式进行编写的,因此,可以根据报文数据中与接口模块相对应的数据信息进行拆分并采集,从而获取接口数据信息。
在本发明实施例中,接口数据信息指的是传输参数的方式。
在本发明实施例中,***数据库指的是存储有请求终端发布的接口信息的关系型数据库管理***,使得该请求终端发布的接口信息与访问请求中的报文数据进行关联。
在本发明实施例中,当网关接收到请求终端未发布的接口信息,那么说明该访问请求会对网关***进行暴力攻击。
在本发明实施例中,该接口数据可以限定为统一资源定位***(uniformresource locator;URL)。
在本发明实施例中,网关***接收到报文数据后,需要先对报文请求中的接口数据进行一次安全验证操作,判断在接收到该报文数据之前是否接收到与该报文数据相对应的外部***发布的接口信息,只有匹配成功才接收外部请求进行后续处理,从而能够屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性。
在本发明实施例二的一些可选的实现方式中,上述网关保护装置还包括:请求方法提取子模块、请求方法判断子模块、请求方法有误子模块以及请求方法正确子模块。其中:
请求方法提取子模块,用于对所述报文数据进行请求方法提取操作,获取请求方法信息。
请求方法判断子模块,用于判断所述请求方法信息是否为POST请求方法。
请求方法有误子模块,用于若所述请求方法信息不为POST请求方法,则向所述请求终端输出请求方法有误信号。
请求方法正确子模块,用于若所述请求方法信息为POST请求方法,则执行所述判断所述报文数据是否满足验证条件的步骤。
在本发明实施例二的一些可选的实现方式中,上述网关保护装置还包括:
请求内容提取子模块,用于对所述报文数据进行请求内容提取操作,获取请求内容信息。
请求内容判断子模块,用于判断所述请求内容信息是否为文件上传请求。
验证条件判断子模块,用于若所述请求内容信息不为文件上传请求,则执行所述判断所述报文数据是否满足验证条件的步骤。
文件类型获取子模块,用于若所述请求内容信息为文件上传请求,则获取与所述文件上传请求相对应的文件类型。
文件类型判断子模块,用于基于正则表达式判断所述文件类型是否规范。
类型错误子模块,用于若所述文件类型不规范,则向所述请求终端输出类型错误信号。
类型正确子模块,用于若所述文件类型规范,则执行所述判断所述报文数据是否满足验证条件的步骤。
在本发明实施例二的一些可选的实现方式中,上述验证判断模块包括:公钥获取子模块、参数获取子模块、待验签名生成子模块以及待验签名判断子模块。其中:
公钥获取子模块,用于读取签名服务器,在所述签名服务器中获取与所述密钥标识相对应的签名公钥。
参数获取子模块,用于对所述报文数据进行请求参数提取操作,获取请求参数信息。
待验签名生成子模块,用于基于key-value以及所述签名公钥对所述请求参数信息进行全名生成操作,获取待验签名信息。
子模块,用于待验签名判断子模块,用于判断所述原始签名信息与所述待验签名信息是否一致。
在本发明实施例二的一些可选的实现方式中,上述网关保护装置100还包括:响应信息接收子模块、密钥获取子模块、响应请求获取子模块以及响应请求发送子模块。
响应信息接收子模块,用于接收所述业务***发送的携带有密钥标识以及响应报文的响应信息。
密钥获取子模块,用于读取签名服务器,在所述签名服务器中获取与所述密钥标识相对应的密钥。
响应请求获取子模块,用于根据所述密钥对所述响应报文进行签名操作,获取响应请求。
响应请求发送子模块,用于将所述响应请求发送至所述请求终端。
综上所述,本发明申请提供了一种网关保护方法,接收请求终端发送的携带有报文数据的访问请求;响应所述访问请求,判断所述报文数据是否满足接口匹配条件;若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。通过在接收到外部请求时,先进行接口匹配操作,只有匹配成功才接收外部请求进行后续处理,从而能够屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性;同时,通过验证报文数据保证了访问请求内容的不可篡改,保证了数据的信息安全。同时,网关***接收到报文数据后,需要先对报文请求中的接口数据进行一次安全验证操作,判断在接收到该报文数据之前是否接收到与该报文数据相对应的外部***发布的接口信息,只有匹配成功才接收外部请求进行后续处理,从而能够屏蔽部分接口不匹配的请求,在网络设备被暴露时依然保持安全性;通过规范报文数据的请求方法,从而进一步限制拦截的对网络设备构成安全威胁的访问请求,使得网关在被暴露的情况下依然保持较好的安全性;当保温数据的请求内容为文件上传请求时,通过规范文件上传的类型,从而有效规避恶意文件的上传导致业务***被攻击的隐含,有效提高网关***的保护能力;外部***的目标是访问内部业务***,签名服务器保存了每个***的签名私钥签名私钥,每一个签名私钥签名私钥都会对应一个certID。通讯过程通过certID去我们的签名服务器拿签名私钥签名私钥,使外部无法知道我们查找签名私钥签名私钥的方式、加密方式、加密算法等信息,这样就提高了签名私钥签名私钥的安全性;业务***处理完访问请求后,会将其签名私钥标识和报文返回网关***,此时网关***会提取响应报文体的签名私钥标识,然后通过这个密钥标识到签名服务器获取其对应的签名私钥,对密钥标识加入签名,签名成功,则将响应报文发送至请求终端,从而实现业务***响应该访问***的信息传输。
为解决上述技术问题,本申请实施例还提供计算机设备。具体请参阅图9,图9为本实施例计算机设备基本结构框图。
所述计算机设备9包括通过***总线相互通信连接存储器91、处理器92、网络接口93。需要指出的是,图中仅示出了具有组件91-93的计算机设备9,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(ApplicationSpecific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable GateArray,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
所述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
所述存储器91至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,所述存储器91可以是所述计算机设备9的内部存储单元,例如该计算机设备9的硬盘或内存。在另一些实施例中,所述存储器91也可以是所述计算机设备9的外部存储设备,例如该计算机设备9上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,所述存储器91还可以既包括所述计算机设备9的内部存储单元也包括其外部存储设备。本实施例中,所述存储器91通常用于存储安装于所述计算机设备9的操作***和各类应用软件,例如X方法的程序代码等。此外,所述存储器91还可以用于暂时地存储已经输出或者将要输出的各类数据。
所述处理器92在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器92通常用于控制所述计算机设备9的总体操作。本实施例中,所述处理器92用于运行所述存储器91中存储的程序代码或者处理数据,例如运行所述X方法的程序代码。
所述网络接口93可包括无线网络接口或有线网络接口,该网络接口93通常用于在所述计算机设备9与其他电子设备之间建立通信连接。
本申请还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有X程序,所述X程序可被至少一个处理器执行,以使所述至少一个处理器执行如上述的X方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所述的方法。
显然,以上所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例,附图中给出了本申请的较佳实施例,但并不限制本申请的专利范围。本申请可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本申请的公开内容的理解更加透彻全面。尽管参照前述实施例对本申请进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本申请说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本申请专利保护范围之内。
Claims (10)
1.一种网关保护方法,其特征在于,包括:
接收请求终端发送的携带有报文数据的访问请求;
响应所述访问请求,判断所述报文数据是否满足接口匹配条件;
若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;
若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;
若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;
若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。
2.如权利要求1所述的网关保护方法,其特征在于,所述判断所述报文数据是否满足接口匹配条件的步骤,具体包括:
对所述报文数据进行拆分操作,获取访问接口数据;
读取***数据库,判断所述***数据库中是否存在与所请求接口数据相对应的匹配接口数据。
3.如权利要求1所述的网关保护方法,其特征在于,在所述判断所述报文数据是否满足验证条件的步骤之前,还包括:
对所述报文数据进行请求方法提取操作,获取请求方法信息;
判断所述请求方法信息是否为POST请求方法;
若所述请求方法信息不为POST请求方法,则向所述请求终端输出请求方法有误信号;
若所述请求方法信息为POST请求方法,则执行所述判断所述报文数据是否满足验证条件的步骤。
4.如权利要求1所述的网关保护方法,其特征在于,所述判断所述报文数据是否满足验证条件的步骤之前,还包括:
对所述报文数据进行请求内容提取操作,获取请求内容信息;
判断所述请求内容信息是否为文件上传请求;
若所述请求内容信息不为文件上传请求,则执行所述判断所述报文数据是否满足验证条件的步骤;
若所述请求内容信息为文件上传请求,则获取与所述文件上传请求相对应的文件类型;
基于正则表达式判断所述文件类型是否规范;
若所述文件类型不规范,则向所述请求终端输出类型错误信号;
若所述文件类型规范,则执行所述判断所述报文数据是否满足验证条件的步骤。
5.如权利要求1所述的网关保护方法,其特征在于,所述报文数据携带有密钥标识信息以及原始签名信息,所述判断所述报文数据是否满足验证条件的步骤,具体包括:
读取签名服务器,在所述签名服务器中获取与所述密钥标识相对应的签名公钥;
对所述报文数据进行请求参数提取操作,获取请求参数信息;
基于key-value以及所述签名公钥对所述请求参数信息进行全名生成操作,获取待验签名信息;
判断所述原始签名信息与所述待验签名信息是否一致。
6.如权利要求1所述的网关保护方法,其特征在于,所述按照预设的路由规则将所述访问请求发送至业务***的步骤之后,还包括:
接收所述业务***发送的携带有密钥标识以及响应报文的响应信息;
读取签名服务器,在所述签名服务器中获取与所述密钥标识相对应的签名私钥;
根据所述签名私钥对所述响应报文进行签名操作,获取响应请求;
将所述响应请求发送至所述请求终端。
7.一种网关保护装置,其特征在于,包括:
请求接收模块,用于接收请求终端发送的携带有报文数据的访问请求;
接口匹配模块,用于响应所述访问请求,判断所述报文数据是否满足接口匹配条件;
匹配失败模块,用于若所述报文数据不满足接口匹配条件,则向所述请求终端输出匹配失败信号;
验证判断模块,用于若所述报文数据满足接口匹配条件,则判断所述报文数据是否满足验证条件;
验证成功模块,用于若所述验证数据满足所述验证条件,则按照预设的路由规则将所述访问请求发送至业务***;
验证失败模块,用于若所述验证数据不满足所述验证条件,则向所述请求终端输出验证失败信号。
8.如权利要求7所述的网关保护装置,其特征在于,所述接口匹配模块包括:
借口获取子模块,用于对所述报文数据进行拆分操作,获取访问接口数据;
接口匹配子模块,用于读取***数据库,判断所述***数据库中是否存在与所请求接口数据相对应的匹配接口数据。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至6中任一项所述的网关保护方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的网关保护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911097488.3A CN110995658A (zh) | 2019-11-12 | 2019-11-12 | 网关保护方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911097488.3A CN110995658A (zh) | 2019-11-12 | 2019-11-12 | 网关保护方法、装置、计算机设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110995658A true CN110995658A (zh) | 2020-04-10 |
Family
ID=70083780
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911097488.3A Pending CN110995658A (zh) | 2019-11-12 | 2019-11-12 | 网关保护方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110995658A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112148508A (zh) * | 2020-09-30 | 2020-12-29 | 深圳市晨北科技有限公司 | 一种信息处理的方法及相关装置 |
| CN116015687A (zh) * | 2023-01-07 | 2023-04-25 | 杭州视洞科技有限公司 | 一种测试时防止密钥扩散的接口签名计算方法及*** |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6557105B1 (en) * | 1999-04-14 | 2003-04-29 | Tut Systems, Inc. | Apparatus and method for cryptographic-based license management |
| CN102760155A (zh) * | 2012-05-30 | 2012-10-31 | 中兴通讯股份有限公司 | 一种基于数据库的事务控制方法及装置 |
| US8775559B1 (en) * | 2012-01-11 | 2014-07-08 | Amazon Technologies, Inc. | Generating network pages using customer-supplied generation code |
| CN107315754A (zh) * | 2016-04-27 | 2017-11-03 | 上海易飞信息技术有限公司 | 一种通用webservice接口的实现方法 |
| CN109150805A (zh) * | 2017-06-19 | 2019-01-04 | 亿阳安全技术有限公司 | 应用程序编程接口的安全管理方法和*** |
| CN109450649A (zh) * | 2018-12-28 | 2019-03-08 | 北京金山安全软件有限公司 | 一种基于应用程序接口的网关验证方法、装置及电子设备 |
-
2019
- 2019-11-12 CN CN201911097488.3A patent/CN110995658A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6557105B1 (en) * | 1999-04-14 | 2003-04-29 | Tut Systems, Inc. | Apparatus and method for cryptographic-based license management |
| US8775559B1 (en) * | 2012-01-11 | 2014-07-08 | Amazon Technologies, Inc. | Generating network pages using customer-supplied generation code |
| CN102760155A (zh) * | 2012-05-30 | 2012-10-31 | 中兴通讯股份有限公司 | 一种基于数据库的事务控制方法及装置 |
| CN107315754A (zh) * | 2016-04-27 | 2017-11-03 | 上海易飞信息技术有限公司 | 一种通用webservice接口的实现方法 |
| CN109150805A (zh) * | 2017-06-19 | 2019-01-04 | 亿阳安全技术有限公司 | 应用程序编程接口的安全管理方法和*** |
| CN109450649A (zh) * | 2018-12-28 | 2019-03-08 | 北京金山安全软件有限公司 | 一种基于应用程序接口的网关验证方法、装置及电子设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112148508A (zh) * | 2020-09-30 | 2020-12-29 | 深圳市晨北科技有限公司 | 一种信息处理的方法及相关装置 |
| CN116015687A (zh) * | 2023-01-07 | 2023-04-25 | 杭州视洞科技有限公司 | 一种测试时防止密钥扩散的接口签名计算方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6609047B2 (ja) | アプリケーション情報リスクマネジメントのための方法及びデバイス | |
| CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| WO2015169158A1 (zh) | 信息保护的方法和*** | |
| US20160021111A1 (en) | Method, Terminal Device, and Network Device for Improving Information Security | |
| CN111131221B (zh) | 接口校验的装置、方法及存储介质 | |
| CN110324416B (zh) | 下载路径跟踪方法、装置、服务器、终端及介质 | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| CN113225351B (zh) | 一种请求处理方法、装置、存储介质及电子设备 | |
| CN112838951B (zh) | 一种终端设备的运维方法、装置、***及存储介质 | |
| CN113239397A (zh) | 信息访问方法、装置、计算机设备及介质 | |
| CN110995658A (zh) | 网关保护方法、装置、计算机设备及存储介质 | |
| KR101586048B1 (ko) | 불법 어플리케이션 차단 시스템 및 서버, 이를 위한 통신 단말기 및 불법 어플리케이션 차단 방법과 기록매체 | |
| CN109495458A (zh) | 一种数据传输的方法、***及相关组件 | |
| CN110650014B (zh) | 一种基于hessian协议的签名认证方法、***、设备及存储介质 | |
| CN110381114B (zh) | 接口请求参数的处理方法、装置、终端设备及介质 | |
| CN113709136B (zh) | 一种访问请求验证方法和装置 | |
| CN115756255A (zh) | 停车场设备的设备参数处理方法、装置、设备和存储介质 | |
| CN114077749A (zh) | 基于区块链的数据处理方法、及其相关设备 | |
| CN111935122B (zh) | 数据的安全处理方法及装置 | |
| CN114143308A (zh) | 文件上传信息处理方法、装置、计算机设备及存储介质 | |
| CN110941412A (zh) | 基于图片化实现多终端动画协同浏览的方法、***及终端 | |
| CN112015494A (zh) | 第三方api工具调用方法、***及装置 | |
| CN112966277A (zh) | 网页保护方法、装置、计算机设备及存储介质 | |
| CN110943982A (zh) | 单据数据加密的方法、装置、电子设备和存储介质 | |
| CN113660274B (zh) | 网站信息处理方法及装置、存储介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200410 |