CN112804242A - 一种无感知自动发现的api安全管理***及方法 - Google Patents
一种无感知自动发现的api安全管理***及方法 Download PDFInfo
- Publication number
- CN112804242A CN112804242A CN202110099690.0A CN202110099690A CN112804242A CN 112804242 A CN112804242 A CN 112804242A CN 202110099690 A CN202110099690 A CN 202110099690A CN 112804242 A CN112804242 A CN 112804242A
- Authority
- CN
- China
- Prior art keywords
- api
- authentication module
- security authentication
- interface
- api interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种无感知自动发现的API安全管理方法包括:步骤一、将需要进行安全管理的API接口注册到API注册中心模块;步骤二、将所述API注册中心模块注册的API接口数据信息存储在API数据存储模块并在API展示模块进行展示;步骤三、API安全认证模块通过对请求访问API接口的请求数据信息与在所述API数据存储模块内存储的认证信息进行比较,确定请求访问权限,并将结果传输至API访问控制模块;步骤四、所述API访问控制模块通过接收到的确定的API接口请求和对应的API接口请求的访问权限进行数据的传输;通过对流入流量、流出流量、调用次数和异常调用次数进行验证的方式,从而提高了API接口传输的数据的安全性。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种无感知自动发现的API安全管理***及方法。
背景技术
API是指应用程序接口,是一些预先定义的接口,如函数、HTTP接口,或指软件***不同组成部分衔接的约定。API接口用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程,而又无需访问源码,或理解内部工作机制的细节。随着微服务概念的提出,基于微服务架构的开发和集成模式逐渐成为热点。在微服务架构下,为了保护内部服务而设计的一道屏障,通过提供高性能的API托管服务以帮助应用服务的开发人员便捷地对外提供服务,不用考虑安全控制、流量控制、审计日志等问题。在企业信息化环境中,由于不同***间存在大量的API接口互相调用,因此需要对***间服务调用进行服务订阅、调用管理以便清晰地看到各***调用关系。
现有技术中仍存在对API的安全管理***及行之有效的管理方法。
发明内容
为此,本发明提供一种无感知自动发现的API安全管理***及方法,用以克服现有技术中存在对API的安全管理***及行之有效的管理方法的问题。
为实现上述目的,本发明提供一种无感知自动发现的API安全管理***及方法,包括:
步骤一、将需要进行安全管理的API接口注册到API注册中心模块;
步骤二、将所述API注册中心模块注册的API接口数据信息存储在API数据存储模块并在API展示模块进行展示;
步骤三、API安全认证模块通过对请求访问API接口的请求数据信息与在所述API数据存储模块内存储的认证信息进行比较,确定请求访问权限,并将结果传输至API访问控制模块;
步骤四、所述API访问控制模块通过接收到的确定的API接口请求和对应的API接口请求的访问权限进行数据的传输;
在所述步骤二中,所述API接口的数据信息包括入参信息和出参信息,所述入参数据包括账户、密钥、时间戳和API的请求参数,所述账户、密钥、时间戳和API请求参数按照特定加密算法进行加密,生成数据,加密完成后将生成的数据和账户、密钥、时间戳和参数通过网络传输至所述API接口,所述出参信息包括经过API接口验证通过后传输至请求端的时间戳请求对应的数据信息;
在所述步骤三中,所述API安全认证模块通过对所述API接收到的账户和密钥进行验证,并将验证通过后的请求数据信息传输至所述API接口,所述API接口进行出参的操作,若验证未通过,则所述API安全认证模块直接返回请求端;
所述API安全认证模块通过对API接口的入参信息进行验证,并对入参信息中的异常信息进行统计,通过对入参信息中的流入流量和流出流量,调用次数和异常次数进行统计,并根据统计结果对API接口的安全性能进行判断,进而对API接口的入参信息和出参信息进行调整。
进一步地,所述API安全认证模块还包括对流入API接口的流量和流出流量进行统计,设定API接口的实时流入流量为Dc和API接口的实时流出流量为Qc,所述API安全认证模块内预设有API接口的流入流量第一阀值Dc1和流入流量第二阀值Dc2,所述API安全认证模块对所述API接口的流入流量进行判断,则,
若Dc≤Dc1时,则所述API安全认证模块判定所述API接口的流入流量为正常流入流量;
若Dc1<Dc≤Dc2时,则所述API安全认证模块判定所述API接口的流入流量为待确认流入流量;
若Dc>Dc2时,则所述API安全认证模块判定所述API接口的流入流量为异常流入流量。
进一步地,所述API安全认证模块内预设有API接口的流出流量第一阀值Qc1和流出流量第二阀值Qc2,所述API安全认证模块对所述API接口的流出流量进行判断,则,
若Qc≤Qc1时,则所述API安全认证模块判定所述API接口的流出流量为正常流出流量;
若Qc1<Qc≤Qc2时,则所述API安全认证模块判定所述API接口的流出流量为待确认流出流量;
若Qc>Qc2时,则所述API安全认证模块判定所述API接口的流出流量为异常流出流量。
进一步地,所述API安全认证模块还包括对API接口的调用次数和调用异常次数进行统计,设定API接口的调用次数为Ds,设定所述API接口的调用次数第一阀值为Ds1,设定所述API接口的调用次数第二阀值为Ds2,所述API安全认证模块对所述API接口的调用次数进行判断,则,
若Ds≤Ds1时,则所述API安全认证模块判定所述API接口的调用次数为正常次数;
若Ds1<Ds≤Ds2时,则所述API安全认证模块判定所述API接口的调用次数为待确认次数;
若Ds>Ds2时,则所述API安全认证模块判定所述API接口的调用次数为异常次数。
进一步地,所述API安全认证模块内设定调用异常次数为Dy,设定所述API接口的调用异常次数第一阀值为Dy1,设定所述API接口的调用异常次数第二阀值为Dy2,所述API安全认证模块对所述API接口的调用异常次数进行判断,则,
若Dy≤Dy1时,则所述API安全认证模块判定所述API接口的调用异常次数为正常次数;
若Dy1<Dy≤Dy2时,则所述API安全认证模块判定所述API接口的调用异常次数为待确认次数;
若Dy>Dy2时,则所述API安全认证模块判定所述API接口的调用异常次数为异常次数。
进一步地,所述API安全认证模块通过对待确认流量和待确认次数的二次认证,设定预设时间为t,则,
若待确认流量为入参流量时,则设定t内的流入流量中正常流入流量的平均值为Dz1,设定t内的流入流量中异常流入流量的平均值为Dz2,将(Dz1+Dz2)/2与Dc进行比较,
若Dc≥(Dz1+Dz2)/2时,则所述API安全认证模块判定待确认流入流量为异常流量;
若Dc<(Dz1+Dz2)/2时,则所述API安全认证模块判定待确认流入流量为正常流量。
进一步地,所述API安全认证模块通过对待确认流量进行二次认证,设定预设时间为t,则,
若待确认流量为出参流量时,则设定t内的流出流量中正常流出流量的平均值为Qz1,设定t内的流出流量中异常流出流量的平均值为Qz2,将(Qz1+Qz2)/2与Qc进行比较,
若Qc≥(Qz1+Qz2)/2时,则所述API安全认证模块判定待确认流出流量为异常流量;
若Qc<(Qz1+Qz2)/2时,则所述API安全认证模块判定待确认流出流量为正常流量。
进一步地,所述API安全认证模块通过对待确认次数进行二次认证,设定预设时间为t,
若待确认次数为调用次数时,则所述API安全认证模块设定t内的正常次数频率为w0,设定在t内的流入流量的正常概率为w1,将w0与w1进行比较,
若w0≥w1时,则所述API安全认证模块判定待确认调用次数为异常次数;
若w0<w1时,则所述API安全认证模块判定待确认调用次数为正常次数;
若待确认次数为调用异常次数时,则所述API安全认证模块设定t内的异常次数为正常次数的频率为w3,设定在t内的流出流量的正常概率为w4,将w3与w4进行比较,则
若w3≥w4时,则所述API安全认证模块判定待确认异常调用次数为异常次数;
若w3<w4时,则所述API安全认证模块判定待确认异常调用次数为正常次数。
进一步地,所述入参数据中的账户、密钥、时间戳和API请求参数按照特定加密算法进行加密,生成的数据为一组或若干组数据。
进一步地,一种无感知自动发现的API安全管理***,包括:
API注册中心模块,其用以提供API的注册;
API数据存储模块,其用以存储所述***内注册的API的数据信息;
API安全认证模块,其用以控制所述API的安全访问;
API展示模块,其用以查看所述API的数据信息;
API访问控制模块,其用以根据所述安全认证模块的认证数据对所述API的访问权限进行划分,并确定出参数据。
与现有技术相比,本发明的有益效果在于,本发明通过提供一种无感知自动发现的API安全管理方法通过将API接口注册到API注册中心模块并在API接口数据信息存储在API数据存储模块和API展示模块进行展示,API安全认证模块通过对入参信息中的账户、密钥、时间戳和API的请求参数,所述账户、密钥、时间戳和API请求参数按照特定加密算法进行加密,生成数据,加密完成后将生成的数据和账户、密钥、时间戳和参数通过网络传输至所述API接口,完成API入参参数的认证,并使API接口对验证通过后传输至请求端的时间戳请求对应的数据信息,提高API接口传输的数据的安全性。
尤其,本发明通过对流入API接口的流量和流出流量进行统计,设定API接口的实时流入流量为Dc和API接口的实时流出流量为Qc,所述API安全认证模块内预设有API接口的流入流量第一阀值Dc1和流入流量第二阀值Dc2,所述API安全认证模块对所述API接口的流入流量进行判断,从而对流入API接口的流量是否为正常流量进行确认,减少正常流入流量的验证和增强了对待确定流量的二次验证,进一步提高了对API接口传输的数据的安全性。
进一步地,本发明通过API接口流出流量的数据进行统计,并设置第一流出阀值和第二流出阀值,将实时流出流量值与设定的流出流量阀值进行比较,从而对流出流量中的异常流量进行监控,并对待确定流出流量进行二次验证,进一步提高了对API接口传输的数据的安全性。
尤其,本发明通过设置的API安全认证模块对API接口的调用次数和调用异常次数进行统计,设定API接口的调用次数为Ds,设定所述API接口的调用次数第一阀值为Ds1,设定所述API接口的调用次数第二阀值为Ds2,所述API安全认证模块对所述API接口的调用次数进行判断,通过对调用次数结合时间进行调整,并对正常调用次数直接进行调用,对异常次数直接返回调用异常,对待确定次数进行二次验证,并根据设定时间内流入流量的正常概率与正常调用频率进行比较,从而实现对待确认次数的二次确定,提高数据验证的安全性,进一步使其API交互的数据更加安全便捷。
进一步地,本发明通过设定调用异常次数为Dy,设定所述API接口的调用异常次数第一阀值为Dy1,设定所述API接口的调用异常次数第二阀值为Dy2,所述API安全认证模块对所述API接口的调用异常次数进行判断,实现对异常次数的统计,确定异常次数是否在预设的范围内,将不在预设范围的异常次数进行二次确定或直接返回异常的操作,将t内的异常次数为正常次数的频率w3与在t内的流出流量的正常概率为w4进行比较,从而对异常次数进行二次的确定,提高API交互的安全性。
附图说明
图1为本发明所述无感知自动发现的API安全管理方法的流程示意图;
图2为本发明所述无感知自动发现的API安全管理***的功能框架图。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1所示,其为本发明提供一种无感知自动发现的API安全管理方法,包括,
步骤一、将需要进行安全管理的API接口注册到API注册中心模块;
步骤二、将所述API注册中心模块注册的API接口数据信息存储在API数据存储模块并在API展示模块进行展示;
步骤三、API安全认证模块通过对请求访问API接口的请求数据信息与在所述API数据存储模块内存储的认证信息进行比较,确定请求访问权限,并将结果传输至API访问控制模块;
步骤四、所述API访问控制模块通过接收到的确定的API接口请求和对应的API接口请求的访问权限进行数据的传输。
具体而言,本发明实施例中,在所述步骤二中,所述API接口的数据信息包括入参信息和出参信息,所述入参数据包括账户、密钥、时间戳和API的请求参数,所述账户、密钥、时间戳和API请求参数按照特定加密算法进行加密,生成数据,加密完成后将生成的数据和账户、密钥、时间戳和参数通过网络传输至所述API接口,所述出参信息包括经过API接口验证通过后传输至请求端的时间戳请求对应的数据信息。
具体而言,本发明实施例中,在所述步骤三中,所述API安全认证模块通过对所述API接收到的账户和密钥进行验证,并将验证通过后的请求数据信息传输至所述API接口,所述API接口进行出参的操作,若验证未通过,则所述API安全认证模块直接返回请求端。
具体而言,本发明实施例中,所述入参数据中的账户、密钥、时间戳和API请求参数按照特定加密算法进行加密,生成的数据为一组或若干组数据。
具体而言,本发明实施例中,所述API安全认证模块通过对API接口的入参信息进行验证,并对入参信息中的异常信息进行统计,通过对入参信息中的流入流量和流出流量,调用次数和异常次数进行统计,并根据统计结果对API接口的安全性能进行判断,进而对API接口的入参信息和出参信息进行调整。
请参阅图2所示,其为本发明提供的一种无感知自动发现的API安全管理***,包括:API注册中心模块,其用以提供API的注册;API数据存储模块,其用以存储所述***内注册的API的数据信息;API安全认证模块,其用以控制所述API的安全访问;API展示模块,其用以查看所述API的数据信息;API访问控制模块,其用以根据所述安全认证模块的认证数据对所述API的访问权限进行划分,并确定出参数据。
具体而言,本发明实施例中,所述API安全认证模块还包括对流入API接口的流量和流出流量进行统计,设定API接口的实时流入流量为Dc和API接口的实时流出流量为Qc,所述API安全认证模块内预设有API接口的流入流量第一阀值Dc1和流入流量第二阀值Dc2,所述API安全认证模块对所述API接口的流入流量进行判断,则,
若Dc≤Dc1时,则所述API安全认证模块判定所述API接口的流入流量为正常流入流量;
若Dc1<Dc≤Dc2时,则所述API安全认证模块判定所述API接口的流入流量为待确认流入流量;
若Dc>Dc2时,则所述API安全认证模块判定所述API接口的流入流量为异常流入流量。
具体而言,本发明实施例中所述API安全认证模块对流入流量判定为正常流入流量时的流量仅进行监控,不进行任何的干预,对判定为异常流入流量直接返回数据为异常流入流量,从而减少重复验证的过程,并对待确认的流入流量进行二次验证,进一步提高了对API的流入流量的数据的安全性。
具体而言,本发明实施例中,所述API安全认证模块内预设有API接口的流出流量第一阀值Qc1和流出流量第二阀值Qc2,所述API安全认证模块对所述API接口的流出流量进行判断,则,
若Qc≤Qc1时,则所述API安全认证模块判定所述API接口的流出流量为正常流出流量;
若Qc1<Qc≤Qc2时,则所述API安全认证模块判定所述API接口的流出流量为待确认流出流量;
若Qc>Qc2时,则所述API安全认证模块判定所述API接口的流出流量为异常流出流量。
具体而言,本发明实施例中所述API安全认证模块对流出流量判定为正常流出流量时的流量仅进行监控,不进行任何的干预,对判定为异常流出流量直接返回数据为异常流出流量,并阻止API接口进行流出操作,从而减少重复验证的过程,并对待确认的流出流量进行二次验证,进一步提高了对API的流出流量的数据的安全性,实现对API接口内的数据的有效安全保护。
具体而言,本发明实施例中,所述API安全认证模块还包括对API接口的调用次数和调用异常次数进行统计,设定API接口的调用次数为Ds,设定所述API接口的调用次数第一阀值为Ds1,设定所述API接口的调用次数第二阀值为Ds2,所述API安全认证模块对所述API接口的调用次数进行判断,则,
若Ds≤Ds1时,则所述API安全认证模块判定所述API接口的调用次数为正常次数;
若Ds1<Ds≤Ds2时,则所述API安全认证模块判定所述API接口的调用次数为待确认次数;
若Ds>Ds2时,则所述API安全认证模块判定所述API接口的调用次数为异常次数。
具体而言,本发明实施例中,所述API安全认证模块对调用次数在正常次数时,直接调用,不需要二次验证,减少所述API接口的验证时间,提高API的安全性的同时减少调用时间。
具体而言,本发明实施例中,所述API安全认证模块对调用次数在异常次数时,直接对调用进行不执行操作,并返回调用次数异常的数据,提高API的安全性的同时减少调用时间。
具体而言,本发明实施例中,所述API安全认证模块对调用次数在待确定次数时,对其进行二次验证,提高验证效率。所述API安全认证模块对所述API接口的调用次数进行判断,通过对调用次数结合时间进行调整,并对正常调用次数直接进行调用,对异常次数直接返回调用异常,对待确定次数进行二次验证,并根据设定时间内流入流量的正常概率与正常调用频率进行比较,从而实现对待确认次数的二次确定,提高数据验证的安全性,进一步使其API交互的数据更加安全便捷。
具体而言,本发明实施例中,所述API安全认证模块内设定调用异常次数为Dy,设定所述API接口的调用异常次数第一阀值为Dy1,设定所述API接口的调用异常次数第二阀值为Dy2,所述API安全认证模块对所述API接口的调用异常次数进行判断,则,
若Dy≤Dy1时,则所述API安全认证模块判定所述API接口的调用异常次数为正常次数;
若Dy1<Dy≤Dy2时,则所述API安全认证模块判定所述API接口的调用异常次数为待确认次数;
若Dy>Dy2时,则所述API安全认证模块判定所述API接口的调用异常次数为异常次数。
具体而言,本发明实施例中,所述API安全认证模块对所述API接口的调用异常次数进行判断,实现对异常次数的统计,确定异常次数是否在预设的范围内,将不在预设范围的异常次数进行二次确定或直接返回异常的操作,将t内的异常次数为正常次数的频率w3与在t内的流出流量的正常概率为w4进行比较,从而对异常次数进行二次的确定,提高API交互的安全性。
具体而言,本发明实施例中,所述API安全认证模块通过对待确认流量和待确认次数的二次认证,设定预设时间为t,则,
若待确认流量为入参流量时,则设定t内的流入流量中正常流入流量的平均值为Dz1,设定t内的流入流量中异常流入流量的平均值为Dz2,将(Dz1+Dz2)/2与Dc进行比较,
若Dc≥(Dz1+Dz2)/2时,则所述API安全认证模块判定待确认流入流量为异常流量;
若Dc<(Dz1+Dz2)/2时,则所述API安全认证模块判定待确认流入流量为正常流量。
具体而言,本发明实施例中,所述API安全认证模块通过对待确认流量进行二次认证,设定预设时间为t,则,
若待确认流量为出参流量时,则设定t内的流出流量中正常流出流量的平均值为Qz1,设定t内的流出流量中异常流出流量的平均值为Qz2,将(Qz1+Qz2)/2与Qc进行比较,
若Qc≥(Qz1+Qz2)/2时,则所述API安全认证模块判定待确认流出流量为异常流量;
若Qc<(Qz1+Qz2)/2时,则所述API安全认证模块判定待确认流出流量为正常流量。
具体而言,本发明实施例中,所述API安全认证模块通过对待确认次数进行二次认证,设定预设时间为t,
若待确认次数为调用次数时,则所述API安全认证模块设定t内的正常次数频率为w0,设定在t内的流入流量的正常概率为w1,将w0与w1进行比较,
若w0≥w1时,则所述API安全认证模块判定待确认调用次数为异常次数;
若w0<w1时,则所述API安全认证模块判定待确认调用次数为正常次数;
若待确认次数为调用异常次数时,则所述API安全认证模块设定t内的异常次数为正常次数的频率为w3,设定在t内的流出流量的正常概率为w4,将w3与w4进行比较,则
若w3≥w4时,则所述API安全认证模块判定待确认异常调用次数为异常次数;
若w3<w4时,则所述API安全认证模块判定待确认异常调用次数为正常次数。
具体而言,本发明实施例通过将API接口注册到API注册中心模块并在API接口数据信息存储在API数据存储模块和API展示模块进行展示,API安全认证模块通过对入参信息中的账户、密钥、时间戳和API的请求参数,所述账户、密钥、时间戳和API请求参数按照特定加密算法进行加密,生成数据,通过对流入流量、流出流量、调用次数和异常调用次数与预设参数进行比较,从而提高数据的安全性。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种无感知自动发现的API安全管理方法,其特征在于,包括:
步骤一、将需要进行安全管理的API接口注册到API注册中心模块;
步骤二、将所述API注册中心模块注册的API接口数据信息存储在API数据存储模块并在API展示模块进行展示;
步骤三、API安全认证模块通过对请求访问API接口的请求数据信息与在所述API数据存储模块内存储的认证信息进行比较,确定请求访问权限,并将结果传输至API访问控制模块;
步骤四、所述API访问控制模块通过接收到的确定的API接口请求和对应的API接口请求的访问权限进行数据的传输;
在所述步骤二中,所述API接口的数据信息包括入参信息和出参信息,所述入参数据包括账户、密钥、时间戳和API的请求参数,所述账户、密钥、时间戳和API请求参数按照特定加密算法进行加密,生成数据,加密完成后将生成的数据和账户、密钥、时间戳和参数通过网络传输至所述API接口,所述出参信息包括经过API接口验证通过后传输至请求端的时间戳请求对应的数据信息;
在所述步骤三中,所述API安全认证模块通过对所述API接收到的账户和密钥进行验证,并将验证通过后的请求数据信息传输至所述API接口,所述API接口进行出参的操作,若验证未通过,则所述API安全认证模块直接返回请求端;
所述API安全认证模块通过对API接口的入参信息进行验证,并对入参信息中的异常信息进行统计,通过对入参信息中的流入流量和流出流量,调用次数和异常次数进行统计,并根据统计结果对API接口的安全性能进行判断,进而对API接口的入参信息和出参信息进行调整。
2.根据权利要求1所述的无感知自动发现的API安全管理方法,其特征在于,所述API安全认证模块还包括对流入API接口的流量和流出流量进行统计,设定API接口的实时流入流量为Dc和API接口的实时流出流量为Qc,所述API安全认证模块内预设有API接口的流入流量第一阀值Dc1和流入流量第二阀值Dc2,所述API安全认证模块对所述API接口的流入流量进行判断,则,
若Dc≤Dc1时,则所述API安全认证模块判定所述API接口的流入流量为正常流入流量;
若Dc1<Dc≤Dc2时,则所述API安全认证模块判定所述API接口的流入流量为待确认流入流量;
若Dc>Dc2时,则所述API安全认证模块判定所述API接口的流入流量为异常流入流量。
3.根据权利要求2所述的无感知自动发现的API安全管理方法,其特征在于,所述API安全认证模块内预设有API接口的流出流量第一阀值Qc1和流出流量第二阀值Qc2,所述API安全认证模块对所述API接口的流出流量进行判断,则,
若Qc≤Qc1时,则所述API安全认证模块判定所述API接口的流出流量为正常流出流量;
若Qc1<Qc≤Qc2时,则所述API安全认证模块判定所述API接口的流出流量为待确认流出流量;
若Qc>Qc2时,则所述API安全认证模块判定所述API接口的流出流量为异常流出流量。
4.根据权利要求3所述的无感知自动发现的API安全管理方法,其特征在于,所述API安全认证模块还包括对API接口的调用次数和调用异常次数进行统计,设定API接口的调用次数为Ds,设定所述API接口的调用次数第一阀值为Ds1,设定所述API接口的调用次数第二阀值为Ds2,所述API安全认证模块对所述API接口的调用次数进行判断,则,
若Ds≤Ds1时,则所述API安全认证模块判定所述API接口的调用次数为正常次数;
若Ds1<Ds≤Ds2时,则所述API安全认证模块判定所述API接口的调用次数为待确认次数;
若Ds>Ds2时,则所述API安全认证模块判定所述API接口的调用次数为异常次数。
5.根据权利要求4所述的无感知自动发现的API安全管理方法,其特征在于,所述API安全认证模块内设定调用异常次数为Dy,设定所述API接口的调用异常次数第一阀值为Dy1,设定所述API接口的调用异常次数第二阀值为Dy2,所述API安全认证模块对所述API接口的调用异常次数进行判断,则,
若Dy≤Dy1时,则所述API安全认证模块判定所述API接口的调用异常次数为正常次数;
若Dy1<Dy≤Dy2时,则所述API安全认证模块判定所述API接口的调用异常次数为待确认次数;
若Dy>Dy2时,则所述API安全认证模块判定所述API接口的调用异常次数为异常次数。
6.根据权利要求5所述的无感知自动发现的API安全管理方法,其特征在于,所述API安全认证模块通过对待确认流量和待确认次数的二次认证,设定预设时间为t,则,
若待确认流量为入参流量时,则设定t内的流入流量中正常流入流量的平均值为Dz1,设定t内的流入流量中异常流入流量的平均值为Dz2,将(Dz1+Dz2)/2与Dc进行比较,
若Dc≥(Dz1+Dz2)/2时,则所述API安全认证模块判定待确认流入流量为异常流量;
若Dc<(Dz1+Dz2)/2时,则所述API安全认证模块判定待确认流入流量为正常流量。
7.根据权利要求6所述的无感知自动发现的API安全管理方法,其特征在于,所述API安全认证模块通过对待确认流量进行二次认证,设定预设时间为t,则,
若待确认流量为出参流量时,则设定t内的流出流量中正常流出流量的平均值为Qz1,设定t内的流出流量中异常流出流量的平均值为Qz2,将(Qz1+Qz2)/2与Qc进行比较,
若Qc≥(Qz1+Qz2)/2时,则所述API安全认证模块判定待确认流出流量为异常流量;
若Qc<(Qz1+Qz2)/2时,则所述API安全认证模块判定待确认流出流量为正常流量。
8.根据权利要求7所述的无感知自动发现的API安全管理方法,其特征在于,所述API安全认证模块通过对待确认次数进行二次认证,设定预设时间为t,
若待确认次数为调用次数时,则所述API安全认证模块设定t内的正常次数频率为w0,设定在t内的流入流量的正常概率为w1,将w0与w1进行比较,
若w0≥w1时,则所述API安全认证模块判定待确认调用次数为异常次数;
若w0<w1时,则所述API安全认证模块判定待确认调用次数为正常次数;
若待确认次数为调用异常次数时,则所述API安全认证模块设定t内的异常次数为正常次数的频率为w3,设定在t内的流出流量的正常概率为w4,将w3与w4进行比较,则
若w3≥w4时,则所述API安全认证模块判定待确认异常调用次数为异常次数;
若w3<w4时,则所述API安全认证模块判定待确认异常调用次数为正常次数。
9.根据权利要求8所述的无感知自动发现的API安全管理方法,其特征在于,所述入参数据中的账户、密钥、时间戳和API请求参数按照特定加密算法进行加密,生成的数据为一组或若干组数据。
10.一种无感知自动发现的API安全管理***,其特征在于,包括:
API注册中心模块,其用以提供API的注册;
API数据存储模块,其用以存储所述***内注册的API的数据信息;
API安全认证模块,其用以控制所述API的安全访问;
API展示模块,其用以查看所述API的数据信息;
API访问控制模块,其用以根据所述安全认证模块的认证数据对所述API的访问权限进行划分,并确定出参数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110099690.0A CN112804242B (zh) | 2021-01-25 | 2021-01-25 | 一种无感知自动发现的api安全管理***及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110099690.0A CN112804242B (zh) | 2021-01-25 | 2021-01-25 | 一种无感知自动发现的api安全管理***及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112804242A true CN112804242A (zh) | 2021-05-14 |
CN112804242B CN112804242B (zh) | 2022-09-13 |
Family
ID=75811621
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110099690.0A Active CN112804242B (zh) | 2021-01-25 | 2021-01-25 | 一种无感知自动发现的api安全管理***及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112804242B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114584328A (zh) * | 2022-05-09 | 2022-06-03 | 武汉四通信息服务有限公司 | Api接口的访问方法、计算机设备及计算机存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105262717A (zh) * | 2015-08-31 | 2016-01-20 | 福建天晴数码有限公司 | 一种网络服务安全管理方法及装置 |
CN108040057A (zh) * | 2014-12-17 | 2018-05-15 | 朱保生 | 适于保障网络安全、网络通信质量的sdn*** |
CN108259462A (zh) * | 2017-11-29 | 2018-07-06 | 国网吉林省电力有限公司信息通信公司 | 基于海量网络监测数据的大数据安全分析*** |
US20190114417A1 (en) * | 2017-10-13 | 2019-04-18 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
CN109672612A (zh) * | 2018-12-13 | 2019-04-23 | 中国电子科技集团公司电子科学研究院 | Api网关*** |
CN110175466A (zh) * | 2019-04-16 | 2019-08-27 | 平安科技(深圳)有限公司 | 开放平台的安全管理方法、装置、计算机设备及存储介质 |
CN110378120A (zh) * | 2019-07-17 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 应用程序接口攻击检测方法、装置以及可读存储介质 |
US20200028771A1 (en) * | 2018-07-17 | 2020-01-23 | Cisco Technology, Inc. | Encrypted traffic analysis control mechanisms |
CN110941844A (zh) * | 2019-11-27 | 2020-03-31 | 网易(杭州)网络有限公司 | 一种认证鉴权方法、***、电子设备及可读存储介质 |
CN111416837A (zh) * | 2020-02-20 | 2020-07-14 | 华迪计算机集团有限公司 | 政务***api接口访问网关、方法、电子设备及存储介质 |
-
2021
- 2021-01-25 CN CN202110099690.0A patent/CN112804242B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108040057A (zh) * | 2014-12-17 | 2018-05-15 | 朱保生 | 适于保障网络安全、网络通信质量的sdn*** |
CN105262717A (zh) * | 2015-08-31 | 2016-01-20 | 福建天晴数码有限公司 | 一种网络服务安全管理方法及装置 |
US20190114417A1 (en) * | 2017-10-13 | 2019-04-18 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
CN108259462A (zh) * | 2017-11-29 | 2018-07-06 | 国网吉林省电力有限公司信息通信公司 | 基于海量网络监测数据的大数据安全分析*** |
US20200028771A1 (en) * | 2018-07-17 | 2020-01-23 | Cisco Technology, Inc. | Encrypted traffic analysis control mechanisms |
CN109672612A (zh) * | 2018-12-13 | 2019-04-23 | 中国电子科技集团公司电子科学研究院 | Api网关*** |
CN110175466A (zh) * | 2019-04-16 | 2019-08-27 | 平安科技(深圳)有限公司 | 开放平台的安全管理方法、装置、计算机设备及存储介质 |
CN110378120A (zh) * | 2019-07-17 | 2019-10-25 | 腾讯科技(深圳)有限公司 | 应用程序接口攻击检测方法、装置以及可读存储介质 |
CN110941844A (zh) * | 2019-11-27 | 2020-03-31 | 网易(杭州)网络有限公司 | 一种认证鉴权方法、***、电子设备及可读存储介质 |
CN111416837A (zh) * | 2020-02-20 | 2020-07-14 | 华迪计算机集团有限公司 | 政务***api接口访问网关、方法、电子设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
任高明: "网络异常检测技术研究", 《信息与电脑(理论版)》 * |
李春等: "网络流量实时监控及安全分析***的开发应用", 《电子技术与软件工程》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114584328A (zh) * | 2022-05-09 | 2022-06-03 | 武汉四通信息服务有限公司 | Api接口的访问方法、计算机设备及计算机存储介质 |
CN114584328B (zh) * | 2022-05-09 | 2022-08-02 | 武汉四通信息服务有限公司 | Api接口的访问方法、计算机设备及计算机存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112804242B (zh) | 2022-09-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10938896B2 (en) | Peer-to-peer communication system and peer-to-peer processing apparatus | |
CN112270012B (zh) | 一种用于分布式数据安全防护的装置、方法及其*** | |
US11983266B2 (en) | Systems and methods for event-based application control | |
CN110765484A (zh) | 一种征信数据处理方法及电子设备 | |
US11398942B2 (en) | Systems and methods for subscribing topics and registering computer server event notifications | |
US11165628B2 (en) | Systems and methods for registering computer server event notifications | |
CN114124583B (zh) | 基于零信任的终端控制方法、***及装置 | |
CN112804242B (zh) | 一种无感知自动发现的api安全管理***及方法 | |
CN113225394A (zh) | 一种基于容器集群的api网关管理*** | |
WO1997035417A1 (en) | Method and apparatus for validating a subscriber terminal on a telecommunication network | |
CN114466076A (zh) | 普惠金融业务场景下应用的api网关架构及使用方法 | |
CN114448648B (zh) | 基于rpa的敏感凭据管理方法及*** | |
EP4045998A1 (en) | Token-based device access restriction systems | |
Kretzschmar et al. | Security management areas in the inter-cloud | |
KR101775517B1 (ko) | 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법 | |
US9485225B2 (en) | Method for manufacturing a filtering module | |
CN115941287A (zh) | 密码服务集成与管理方法、装置、管理平台及存储介质 | |
CN114418554A (zh) | 各业务***中规则管理方法、***、计算机设备和介质 | |
CN113468591A (zh) | 数据访问方法、***、电子设备及计算机可读存储介质 | |
KR100250979B1 (ko) | 인증처리 장치에서의 인증처리 방법 | |
CN115955325B (zh) | 一种信息的管控方法、***及电子设备 | |
CN115694940A (zh) | 一种登录密码的存储方法、存储装置及终端设备 | |
EP3672290A1 (en) | Cellular behaviour manager | |
CN117938667A (zh) | 区块链交易的处理方法、装置、电子设备和可读介质 | |
CN117376149A (zh) | 一种前后向流量管控*** |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |