CN103078832A - 一种互联网业务安全防御方法及系统 - Google Patents
一种互联网业务安全防御方法及系统 Download PDFInfo
- Publication number
- CN103078832A CN103078832A CN2011103293890A CN201110329389A CN103078832A CN 103078832 A CN103078832 A CN 103078832A CN 2011103293890 A CN2011103293890 A CN 2011103293890A CN 201110329389 A CN201110329389 A CN 201110329389A CN 103078832 A CN103078832 A CN 103078832A
- Authority
- CN
- China
- Prior art keywords
- security
- page
- access
- security component
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供了一种互联网业务安全防御方法及系统,以解决目前的产品点页面和安全组件之间耦合度高的问题。所述方法包括:接收安全访问请求,并从所述安全访问请求中提取出要访问的页面标识;获取与所述页面标识对应的安全配置信息,并根据所述安全配置信息选择所述要访问的页面所需的各个安全组件;调用所选的安全组件判断所述安全访问请求是否安全,并将判断的结果数据返回。本申请降低了安全组件和产品点页面之间的耦合,从而使安全组件的开发环节与部署环节完全分离,使得两者相互之间的影响降到最低。
Description
技术领域
本申请涉及网络安全技术,特别是涉及一种互联网业务安全防御方法及系统。
背景技术
随着网络技术的发展,各种互联网业务日益增多,而网络安全问题尤为重要,直接影响着互联网业务的进行。
目前,互联网应用功能的开发和安全策略的实现是分离的,即由专业的安全人员根据安全策略开发安全组件,然后由互联网应用的开发人员在实现功能的时候引入这些安全组件。引入的方法一般是在产品点页面的代码中直接调用相关安全组件的接口,如图1所示:有m个产品点页面和n个安全组件,每个产品点页面都可以直接调用所需的安全组件。
其中,所述产品点是指互联网应用的产品中有业务安全需求的地方,所述安全组件是指满足产品点业务安全需求的解决方案的技术实现。一个产品点可以包含多个产品点页面,而各个产品点页面的代码中可以调用相同的安全组件,也可以调用各自不同的安全组件。
这种在产品点页面的代码中直接调用相关安全组件接口的方法,将导致产品点页面和安全组件之间的耦合度过高。随着安全组件升级和更新的频率越来越快,这种高耦合度在部署和运营安全组件的过程中经常发生如下问题:
若某个产品点页面需要部署多个安全组件及其服务,就要分别调用些安全组件的不同接口,并需要分别与每个安全组件的开发者联系,从而造成开发资源、沟通成本及其他硬性成本(如服务器等)的浪费;
安全组件的开发要在多个产品点页面上推广部署自己的产品,就要分别联系这些产品点页面的开发者,使之引用自己的接口,也会造成开发资源、沟通成本及其他硬性成本的浪费;
原来部署在多个产品点页面的安全组件需要更新时,就要对每个产品点页面分别进行二次开发,而且一旦产品点页面或者安全组件发生了改动,产生的影响也很难控制,进而导致技术对抗响应速度慢,丧失主动防控的权力。
总之,目前这种产品点页面和安全组件之间的高耦合度会产生很多不利影响。
发明内容
本申请提供了一种互联网业务安全防御方法及系统,以解决目前的产品点页面和安全组件之间耦合度高的问题。
为了解决上述问题,本申请公开了一种互联网业务安全防御方法,包括:
接收安全访问请求,并从所述安全访问请求中提取出要访问的页面标识;
获取与所述页面标识对应的安全配置信息,并根据所述安全配置信息选择所述要访问的页面所需的各个安全组件;
调用所选的安全组件判断所述安全访问请求是否安全,并将判断的结果数据返回。
优选的,所述接收安全访问请求之前,还包括:安全过滤器拦截业务访问请求,并从所述业务访问请求中提取出要访问的页面标识;根据预置的统一配置信息判断所述要访问的页面是否需要进行安全保护;如果需要,则安全过滤器对所述要访问的页面标识进行加密,然后将包含所述加密页面标识的业务访问请求转换为所述安全访问请求发送。
优选的,所述将判断的结果数据返回之后,还包括:安全过滤器接收所述判断的结果数据,如果所述判断的结果数据表示所述要访问的页面安全,则安全过滤器将所述业务访问请求传递给所述要访问的页面进行正常的业务逻辑。
优选的,所述调用所选的安全组件判断所述安全访问请求是否安全,并将判断的结果数据返回,包括:收集所选安全组件所需的信息,并根据收集的信息为所选的安全组件构造查询请求;将查询请求发送给所选的安全组件,安全组件判断查询请求是否安全后将安全判断结果数据返回;接收所选的安全组件返回的安全判断结果数据并进行综合分析,得到所述安全访问请求是否安全的综合分析结果数据,然后将所述综合分析结果数据返回。
优选的,所述收集所选安全组件所需的信息,包括:生成收集所选安全组件所需信息的收集页面,利用所述收集页面收集所选安全组件所需的信息;和/或,通过从所述安全访问请求中提取出所选安全组件所需的信息进行收集。
优选的,根据收集的信息为所选的安全组件构造查询请求,包括:根据所述收集的信息为所选的每一个安全组件构造一个对应的查询请求;将查询请求发送给所选的安全组件,包括:将每一个查询请求发送给对应的安全组件。
优选的,将所述综合分析结果数据返回包括:将所述综合分析结果数据附带签名信息返回。
本申请还提供了一种互联网业务安全防御系统,包括:
请求接收模块,用于接收安全访问请求,并从所述安全访问请求中提取出要访问的页面标识;
配置获取模块,用于获取与所述页面标识对应的安全配置信息;
安全组件选择模块,用于根据所述安全配置信息选择所述要访问的页面所需的各个安全组件;
安全验证模块,用于调用所选的安全组件判断所述安全访问请求是否安全,并将判断的结果数据返回。
优选的,所述系统还包括:安全过滤模块,用于拦截业务访问请求,并从所述业务访问请求中提取出要访问的页面标识;根据预置的统一配置信息判断所述要访问的页面是否需要进行安全保护;如果需要,则对所述要访问的页面标识进行加密,然后将包含所述加密页面标识的业务访问请求转换为所述安全访问请求发送给所述请求接收模块。
优选的,所述安全过滤模块还用于从所述安全验证模块接收所述判断的结果数据,如果所述判断的结果数据表示所述要访问的页面安全,则将所述业务访问请求传递给所述要访问的页面进行正常的业务逻辑。
与现有技术相比,本申请包括以下优点:
本申请提供了一种业务安全防御平台,降低了安全组件和产品点页面之间的耦合,从而使安全组件的开发环节与部署环节完全分离,使得两者相互之间的影响降到最低,具体体现在以下方面:
(1)产品点页面可以根据自身的需求,自由选择接入本申请所述业务安全防御平台的各个安全组件,并使用统一的配置和接口来部署选中的安全组件,无需单独的开发工作;
(2)新的安全组件开发完成后,即可接入到本申请所述业务安全防御平台中,供其他产品点页面选择和部署;
(3)接入到本申请所述业务安全防御平台上的安全组件升级时,不需要部署该安全组件的产品点页面做任何改动;
(4)安全组件和产品点页面的交互都是在本申请所述业务安全防御平台的监控和调度下进行的,任何一个安全组件或者产品点页面出现故障或者变动,本申请所述平台都可以及时捕获到并进行调度,来消除不良影响。
当然,实施本申请的任一产品不一定需要同时达到以上所述的所有优点。
附图说明
图1是现有技术中在实现互联网应用功能时引入相关安全组件的示意图;
图2是本申请实施例中在实现互联网应用功能时引入相关安全组件的示意图;
图3是本申请实施例所述一种互联网业务安全防御方法的流程图;
图4是本申请另一实施例所述业务安全防御平台的工作流程图;
图5是本申请实施例所述一种互联网业务安全防御系统的结构图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
为了降低安全组件和产品点页面之间的耦合,本申请提供了一种业务安全防御平台,所述业务安全防御平台分别为安全组件和产品点页面提供接口,使安全组件只需接入所述业务安全防御平台,便可为其他产品点页面提供安全服务;而产品点页面也只需接入所述业务安全防御平台,即可选择不同的安全组件来保护自身业务的安全。
如前所述,所述产品点是指互联网应用的产品中有业务安全需求的地方,所述安全组件是指满足产品点业务安全需求的解决方案的技术实现。一个产品点可以包含多个产品点页面(也可简称为页面),而各个产品点页面的代码中可以调用相同的安全组件,也可以调用各自不同的安全组件。
下面通过实施例对本申请的内容进行详细说明。
参照图2,是本申请实施例中在实现互联网应用功能时引入相关安全组件的示意图。
如图所示,所述业务安全防御平台设置在安全组件和产品点页面之间,安全组件1至安全组件n所在的服务器通过统一接口连接到业务安全防御平台,产品点页面1至产品点页面m所在的服务器也通过统一接口连接到业务安全防御平台。每个产品点页面通过所述业务安全防御平台的统一调度就可以选择不同的安全组件。
基于所述业务安全防御平台,本申请实施例提供了一种互联网业务安全防御方法,如图3所示。
参照图3,是本申请实施例所述一种互联网业务安全防御方法的流程图。
所述业务安全防御平台执行以下步骤:
步骤301,接收安全访问请求,并从所述安全访问请求中提取出要访问的页面标识;
如果用户请求访问某产品点页面A,则用户通过客户端向该产品点页面A所在的服务器X发送一个请求,服务器X再将该请求跳转到业务安全防御平台。所述业务安全防御平台接收到所述请求后,通过从请求中提取出页面标识,可以获知该请求要访问哪个产品点页面。
实际应用中,服务器X从客户端接收的请求实际上是一个业务访问请求,服务器X会将该业务访问请求转换为安全访问请求,然后再将该安全访问请求发送给业务安全防御平台。
进一步优选的,实际应用中并非所有的产品点页面都需要进行安全防御,某些应用场景下的产品点页面不需要进行安全防御。针对这种情况,该产品点页面所在的服务器在接收到客户端发起的业务访问请求后,还可以增加一个处理,即判断所述业务访问请求要访问的页面是否需要进行安全保护,如果需要,再将所述业务访问请求转换为安全访问请求并发送给业务安全防御平台;如果不需要,则不会进行请求的转换,也不会将转换后的安全访问请求发给业务安全防御平台,而是直接响应请求进行业务处理。
步骤302,获取与所述页面标识对应的安全配置信息,并根据所述安全配置信息选择所述要访问的页面所需的各个安全组件;
在所述业务安全防御平台上存储了安全配置信息,所述安全配置信息与页面标识可以是一对一的关系,也可以是一对多的关系。即一个页面可以设置一套独立的、不同于其他页面配置的安全配置信息,还可以是几个页面共同使用一套安全配置信息。但无论哪种情况,每个页面标识总会对应一种安全配置信息。
所述安全配置信息中设置了页面所需的安全组件,可以是一个安全组件,也可以是多个安全组件。根据页面标识获取到对应的安全配置信息后,通过读取安全配置信息中的具体配置,就可以为要访问的页面选择该页面所需的安全组件。
步骤303,调用所选的安全组件判断所述安全访问请求是否安全,并将判断的结果数据返回。
所述业务安全防御平台调用步骤302所选的安全组件,由安全组件来判断所述安全访问请求是否安全。如果所选的安全组件是一个,则将该安全组件的判断结果数据作为最终的判断结果,并返回给产品点页面所在的服务器。如果所选的安全组件是多个,则每个安全组件都会向业务安全防御平台返回一个判断的结果数据,业务安全防御平台还需要对各个安全组件的判断结果数据进行综合分析,得出最终的判断结果。
针对步骤303,本申请实施例提供了如下的一种具体实现方法,当然实际应用中也可以有其他实现步骤303的方法,本申请在此不做限定。
所述步骤303具体可以包括如下子步骤:
S1,收集所选安全组件所需的信息,并根据收集的信息为所选的安全组件构造查询请求;
收集的方式可以有多种,本实施例提供以下两种收集方式:
一种是通过从所述安全访问请求中提取出所选安全组件所需的信息进行收集。实际上,这是一种自动收集的方式。由于所述安全访问请求中包含了安全组件所需的信息,业务安全防御平台直接可以从所述安全访问请求中提取出来,并根据提取出的信息构造查询请求。例如,所选的某个安全组件需要网页的cookie信息,安全访问请求中通常会携带这些cookie信息,因此从安全访问请求中直接获取即可。此外,请求中包含的其他参数如果是安全组件所需的,也可以通过这种自动的方式进行收集。
但是实际应用中,不同安全组件所需的信息也会不同,这些信息不一定可以从安全访问请求中获取得到,这时可以使用下述的另一种收集方法。
另一种是生成收集所选安全组件所需信息的收集页面,利用所述收集页面收集所选安全组件所需的信息。
所述业务安全防御平台组装出这些所选安全组件所需信息的收集页面,然后将收集页面直接发送给发起请求的客户端。其中,通过收集页面收集的安全组件所需信息可以是验证码、用户的指纹信息、用户MAC地址、各种控件被触发后的执行结果等信息,这些信息以收集页面的形式发送到客户端后,通过用户与客户端的交互采集得到,例如通过采集用户的键盘或鼠标等操作行为来获得安全组件所需的信息。所选的安全组件不同,收集页面的内容也会不同。例如,若安全组件A只需要收集用户输入的验证码,则对应的收集页面的内容是要求用户输入验证码;若安全组件B只需要收集用户的MAC地址,则对应的收集页面的内容就不要求用户输入验证码。
用户通过各种操作(如键盘、鼠标操作等)与所述收集页面进行交互之后,所述收集页面将采集到的信息发给所述业务安全防御平台,所述业务安全防御平台根据这些信息就可以为所选的安全组件构造查询请求。
本实施例优选的,为了精细查询,所述业务安全防御平台根据不同安全组件各自所需的信息,为每一个所选的安全组件构造一个对应的查询请求。例如,若安全组件A所需的信息是用户指纹,则业务安全防御平台对应安全组件A构造的查询请求的内容即为用户输入的指纹信息;若安全组件B所需的信息是网页的cookie信息,则业务安全防御平台对应安全组件B构造的查询请求的内容即为要访问的页面的cookie信息。
S2,将查询请求发送给所选的安全组件,安全组件判断查询请求是否安全后将安全判断结果数据返回;
所述业务安全防御平台可以将每一个查询请求发送给对应的安全组件。所选的各个安全组件接收到对应自己的查询请求后,判断所述查询请求是否安全,然后将安全判断结果数据返回给业务安全防御平台。例如,一共构造了两个查询请求,一个查询请求M的内容是用户输入的指纹信息,该查询请求M要发给安全组件A进行验证;另一个查询请求N的内容是要访问的页面的cookie信息,该查询请求N要发给安全组件B进行验证。此时,安全组件A验证用户输入的指纹信息是否与该用户的真实指纹相匹配,如果匹配,则验证通过,如果不匹配,则验证不通过,然后安全组件A将验证是否通过的安全判断结果数据返回给业务安全防御平台。类似的,安全组件B验证所述cookie信息是否正确,如果正确,则验证通过,否则验证不通过,然后同样将验证是否通过的安全判断结果数据返回给业务安全防御平台。
S3,接收所选的安全组件返回的安全判断结果数据并进行综合分析,得到所述安全访问请求是否安全的综合分析结果数据,然后将所述综合分析结果数据返回。
所选的每个安全组件返回一个安全判断结果数据,业务安全防御平台收集所选的各个安全组件返回的安全判断结果数据,并进行汇总分析,然后得出所述安全访问请求是否安全的综合分析结果数据,并将该综合分析结果数据发送给产品点页面所在的服务器,该服务器负责处理该安全访问请求的业务逻辑。其中,业务安全防御平台可采用各种方法对汇总的各个安全判断结果数据进行综合分析,如采用权重法,对判断为不安全的结果赋予较高权重值,对判断为安全的结果赋予较低权重值,然后将赋予不同权重值的各个安全判断结果数据进行综合计算,得出最终的综合分析结果数据。此外,也可以采用投票等其他方法。
用户要访问的产品点页面所在的服务器收到业务安全防御平台返回的综合分析结果后,就可以确定执行什么样的业务逻辑,例如是否向用户返回页面数据、投票是否有效、发表文章是否成功、抽奖是否中奖等等业务逻辑。如果综合分析结果为该请求不安全,则不会执行相应的业务逻辑;如果该请求安全,才会执行相应的业务逻辑。
为了使本领域技术人员更加了解本申请的内容,下面通过另一实施例进行更详细的说明,具体如下。
在所述另一实施例中,业务安全防御平台可以包括安全过滤器、信息收集页面和查询调度器,其中所述安全过滤器部署在产品点页面所在的服务器上,如果多个产品点页面都在同一个服务器上,则在该服务器上部署一个安全过滤器即可。通常,一个产品点设置一台服务器,该服务器能够处理属于该产品点的所有页面,因此部署在该服务器上的安全过滤器可以对该产品点的所有页面进行过滤处理。在实际应用中,互联网应用服务器可以部署一连串不同的过滤器,用户请求在分别经过这些过滤器的处理之后,才最终传递给互联网应用进行业务逻辑的处理,这些过滤器在处理用户请求时可以读取和修改请求的内容,也可以直接构造结果返回给用户而不经过后面的过滤器及互联网应用。上述的安全过滤器即属于这些过滤器中的一种。
基于图3所示的方法,所述业务安全防御平台的工作流程如下。
参照图4,是本申请另一实施例所述业务安全防御平台的工作流程图。
所述工作流程可分为三个阶段:用户请求阶段,安全控制阶段和业务逻辑阶段。其中,用户请求阶段主要由部署在产品点的安全过滤器完成,然后跳转到业务安全防御平台的信息收集页面,进入安全控制阶段,详见下面的步骤401和402。安全控制阶段主要由业务安全防御平台的信息收集页面、查询调度器和安全组件完成,然后将安全控制结果返回给产品点页面,进入业务逻辑阶段,详见下面的步骤403至406。在业务逻辑阶段,安全过滤器根据安全控制结果决定业务逻辑的走向,详见下面的步骤407。
步骤401,用户通过客户端发起访问某产品点页面的业务访问请求;
步骤402,部署在该产品点页面所在服务器上的安全过滤器拦截所述业务访问请求,并从所述业务访问请求中提取出要访问的页面标识;根据预置的统一配置信息判断所述要访问的页面是否需要进行安全保护;如果需要,则安全过滤器对所述要访问的页面标识进行加密,然后将包含所述加密页面标识的业务访问请求转换为所述安全访问请求发送;
其中,所述统一配置信息预先设置在安全过滤器中,配置信息中设置了经过该安全过滤器的哪些产品点页面需要进行安全保护,即对访问该页面的请求调用安全组件进行安全判断,哪些产品点页面不需要进行安全保护。如果用户要访问的页面不需要安全保护,则直接向用户返回页面数据,供用户浏览。
优选的,为了传输的安全性,所述安全过滤器对要访问的页面标识进行加密后再传给业务安全防御平台,具体的加密方法可以采用现有技术中的任何一种加密方法,本实施例对此不做限定。
此外,所述安全过滤器还使用页面跳转技术将用户发送的请求跳转到业务安全防御平台的信息收集页面。作为互联网应用服务器对用户请求的一种响应,页面跳转技术可以引导用户向另外的互联网应用和页面发送特定的请求。
步骤403,业务安全防御平台接收到所述安全访问请求后,通过解密提取出要访问的页面标识,然后根据安全配置信息,选择所述要访问的页面所需的各个安全组件,并生成所选安全组件所需信息的信息收集页面,然后将所述信息收集页面返回给用户;
信息收集页面通过与用户的交互采集到所需信息后,发送给业务安全防御平台,业务安全防御平台根据这些所需信息为每一个所选的安全组件构造一个对应的查询请求,并交给查询调度器;
当然,根据所选安全组件的需要,业务安全防御平台也可以采用自动收集方式,直接从所述安全访问请求中提取安全组件所选的信息,并依据提取出来的信息构造查询请求,本实施例中不再详述。
步骤404,所述查询调度器将每一个查询请求发送给对应的安全组件;
步骤405,所选的每个安全组件判断对应的查询请求是否安全,然后将安全判断结果数据返回给业务安全防御平台的查询调度器;
步骤406,查询调度器根据各个安全组件返回的安全判断结果数据进行综合分析,得到所述用户发送的请求是否安全的综合分析结果数据,然后将所述综合分析结果数据附带签名信息返回;
优选的,为了防止综合分析结果在传输过程中被非法篡改,保证传输的安全性,所述查询调度器将经过业务安全防御平台签名的信息返回。
步骤407,所述要访问的页面所在服务器上的安全过滤器收到所述附带签名信息的综合分析结果数据后,根据签名判断所述综合分析结果数据的传输是否安全,即所述综合分析结果数据是否被篡改,如果安全,再根据所述综合分析结果数据的具体内容进行下一步的处理。例如,如果综合分析结果数据的具体内容为用户发起的请求安全,则安全过滤器将该请求传递给产品点页面进行正常的业务逻辑;如果不安全,则安全过滤器直接向用户返回所述访问不安全的结果,阻止这次访问。
综上所述,所述业务安全防御平台降低了安全组件和产品点页面之间的耦合,从而使安全组件的开发环节与部署环节完全分离,使得两者相互之间的影响降到最低。新的安全组件可以根据用户的需求及安全趋势的变化要求无障碍、即时的部署在产品点页面上,产品点页面也可以根据自身的特点有选择的部署安全组件,从而降低了安全组件的开发、维护环节和部署、执行环节之间的障碍和耦合。本申请的优势具体体现在以下几点:
(1)产品点页面可以根据自身的需求,自由选择接入本申请所述业务安全防御平台的各个安全组件,并使用统一的配置和接口来部署选中的安全组件,无需单独的开发工作;
(2)新的安全组件开发完成后,即可接入到本申请所述业务安全防御平台中,供其他产品点页面选择和部署;
(3)接入到本申请所述业务安全防御平台上的安全组件升级时,不需要部署该安全组件的产品点页面做任何改动;
(4)安全组件和产品点页面的交互都是在本申请所述业务安全防御平台的监控和调度下进行的,任何一个安全组件或者产品点页面出现故障或者变动,本申请所述平台都可以及时捕获到并进行调度,来消除不良影响。
需要说明的是,对于前述的方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请所必须的。
基于上述方法实施例的说明,本申请还提供了相应的互联网业务安全防御系统实施例。
参照图5,是本申请实施例所述一种互联网业务安全防御系统的结构图。
所述互联网业务安全防御系统主要包括请求接收模块51、配置获取模块52、安全组件选择模块53和安全验证模块54,其中:
请求接收模块51,用于接收安全访问请求,并从所述安全访问请求中提取出要访问的页面标识;
配置获取模块52,用于获取与所述页面标识对应的安全配置信息;
安全组件选择模块53,用于根据所述安全配置信息选择所述要访问的页面所需的各个安全组件;
安全验证模块54,用于调用所选的安全组件判断所述安全访问请求是否安全,并将判断的结果数据返回。
优选的,所述安全判断模块54具体可以包括:
信息收集子模块,用于收集所选安全组件所需的信息;
查询子模块,用于根据所述信息收集子模块收集的信息为所选的安全组件构造查询请求,并将查询请求发送给调度子模块;
调度子模块,用于将查询请求发送给所选的安全组件,安全组件判断查询请求是否安全后将安全判断结果数据返回;还用于接收所选的安全组件返回的安全判断结果数据并进行综合分析,得到所述安全访问请求是否安全的综合分析结果数据,然后将所述综合分析结果数据返回。
进一步优选的,所述信息收集子模块具体可以包括:
页面收集单元,用于生成收集所选安全组件所需信息的收集页面,利用所述收集页面收集所选安全组件所需的信息;和/或
自动收集单元,用于通过从所述安全访问请求中提取出所选安全组件所需的信息进行收集。
其中,所述查询子模块可以根据所述信息收集子模块收集的信息为所选的每一个安全组件构造一个对应的查询请求;相应的,所述调度子模块将每一个查询请求发送给对应的安全组件。
优选的,为了保证传输安全,所述安全验证模块54可以将所述综合分析结果数据附带签名信息返回。
优选的,所述互联网业务安全防御系统还可以包括:
安全过滤模块55,用于拦截业务访问请求,并从所述业务访问请求中提取出要访问的页面标识;根据预置的统一配置信息判断所述要访问的页面是否需要进行安全保护;如果需要,则对所述要访问的页面标识进行加密,然后将包含所述加密页面标识的业务访问请求转换为所述安全访问请求发送给所述请求接收模块。
此外,所述安全过滤模块55还可以用于从所述安全验证模块54接收所述判断的结果数据,如果所述判断的结果数据表示所述要访问的页面安全,则将所述业务访问请求传递给所述要访问的页面进行正常的业务逻辑。
对于上述互联网业务安全防御系统实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见上述方法实施例的部分说明即可。
综上所述,所述互联网业务安全防御系统降低了安全组件和产品点页面之间的耦合,从而使安全组件的开发环节与部署环节完全分离,使得两者相互之间的影响降到最低。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
以上对本申请所提供的一种互联网业务安全防御方法及系统,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种互联网业务安全防御方法,其特征在于,包括:
接收安全访问请求,并从所述安全访问请求中提取出要访问的页面标识;
获取与所述页面标识对应的安全配置信息,并根据所述安全配置信息选择所述要访问的页面所需的各个安全组件;
调用所选的安全组件判断所述安全访问请求是否安全,并将判断的结果数据返回。
2.根据权利要求1所述的方法,其特征在于,所述接收安全访问请求之前,还包括:
安全过滤器拦截业务访问请求,并从所述业务访问请求中提取出要访问的页面标识;
根据预置的统一配置信息判断所述要访问的页面是否需要进行安全保护;
如果需要,则安全过滤器对所述要访问的页面标识进行加密,然后将包含所述加密页面标识的业务访问请求转换为所述安全访问请求发送。
3.根据权利要求2所述的方法,其特征在于,所述将判断的结果数据返回之后,还包括:
安全过滤器接收所述判断的结果数据,如果所述判断的结果数据表示所述要访问的页面安全,则安全过滤器将所述业务访问请求传递给所述要访问的页面进行正常的业务逻辑。
4.根据权利要求1至3任一所述的方法,其特征在于,所述调用所选的安全组件判断所述安全访问请求是否安全,并将判断的结果数据返回,包括:
收集所选安全组件所需的信息,并根据收集的信息为所选的安全组件构造查询请求;
将查询请求发送给所选的安全组件,安全组件判断查询请求是否安全后将安全判断结果数据返回;
接收所选的安全组件返回的安全判断结果数据并进行综合分析,得到所述安全访问请求是否安全的综合分析结果数据,然后将所述综合分析结果数据返回。
5.根据权利要求4所述的方法,其特征在于,所述收集所选安全组件所需的信息,包括:
生成收集所选安全组件所需信息的收集页面,利用所述收集页面收集所选安全组件所需的信息;和/或
通过从所述安全访问请求中提取出所选安全组件所需的信息进行收集。
6.根据权利要求4所述的方法,其特征在于,
根据收集的信息为所选的安全组件构造查询请求,包括:根据所述收集的信息为所选的每一个安全组件构造一个对应的查询请求;
将查询请求发送给所选的安全组件,包括:将每一个查询请求发送给对应的安全组件。
7.根据权利要求4所述的方法,其特征在于,将所述综合分析结果数据返回包括:
将所述综合分析结果数据附带签名信息返回。
8.一种互联网业务安全防御系统,其特征在于,包括:
请求接收模块,用于接收安全访问请求,并从所述安全访问请求中提取出要访问的页面标识;
配置获取模块,用于获取与所述页面标识对应的安全配置信息;
安全组件选择模块,用于根据所述安全配置信息选择所述要访问的页面所需的各个安全组件;
安全验证模块,用于调用所选的安全组件判断所述安全访问请求是否安全,并将判断的结果数据返回。
9.根据权利要求8所述的系统,其特征在于,还包括:
安全过滤模块,用于拦截业务访问请求,并从所述业务访问请求中提取出要访问的页面标识;根据预置的统一配置信息判断所述要访问的页面是否需要进行安全保护;如果需要,则对所述要访问的页面标识进行加密,然后将包含所述加密页面标识的业务访问请求转换为所述安全访问请求发送给所述请求接收模块。
10.根据权利要求9所述的系统,其特征在于:
所述安全过滤模块还用于从所述安全验证模块接收所述判断的结果数据,如果所述判断的结果数据表示所述要访问的页面安全,则将所述业务访问请求传递给所述要访问的页面进行正常的业务逻辑。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110329389.0A CN103078832B (zh) | 2011-10-26 | 2011-10-26 | 一种互联网业务安全防御方法及系统 |
| HK13107312.1A HK1180138A1 (zh) | 2011-10-26 | 2013-06-24 | 種互聯網業務安全防禦方法及系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110329389.0A CN103078832B (zh) | 2011-10-26 | 2011-10-26 | 一种互联网业务安全防御方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103078832A true CN103078832A (zh) | 2013-05-01 |
| CN103078832B CN103078832B (zh) | 2016-05-18 |
Family
ID=48155240
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110329389.0A Active CN103078832B (zh) | 2011-10-26 | 2011-10-26 | 一种互联网业务安全防御方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103078832B (zh) |
| HK (1) | HK1180138A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110059110A (zh) * | 2019-04-12 | 2019-07-26 | 北京百度网讯科技有限公司 | 业务数据安全处理方法、装置、计算机设备和存储介质 |
| CN111683107A (zh) * | 2020-08-14 | 2020-09-18 | 北京东方通软件有限公司 | 面向互联网的安全审计方法和系统 |
| CN112333171A (zh) * | 2020-10-28 | 2021-02-05 | 腾讯科技(深圳)有限公司 | 一种业务数据处理方法、装置及计算机设备 |
| CN112702336A (zh) * | 2020-12-22 | 2021-04-23 | 数字广东网络建设有限公司 | 政务服务的安全控制方法、装置、安全网关及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595867A (zh) * | 2003-09-08 | 2005-03-16 | 微软公司 | 避免安全冲突的协调网络启动器管理 |
| CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
| WO2008109292A2 (en) * | 2007-03-02 | 2008-09-12 | Aegis Technologies, Inc. | Methods, systems and devices for securing supervisory control and data acquisition (scada) communications |
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
| CN102104607A (zh) * | 2011-03-10 | 2011-06-22 | 易程(苏州)软件股份有限公司 | 访问业务的安全控制方法、装置及系统 |
-
2011
- 2011-10-26 CN CN201110329389.0A patent/CN103078832B/zh active Active
-
2013
- 2013-06-24 HK HK13107312.1A patent/HK1180138A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595867A (zh) * | 2003-09-08 | 2005-03-16 | 微软公司 | 避免安全冲突的协调网络启动器管理 |
| WO2008109292A2 (en) * | 2007-03-02 | 2008-09-12 | Aegis Technologies, Inc. | Methods, systems and devices for securing supervisory control and data acquisition (scada) communications |
| CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
| CN102104607A (zh) * | 2011-03-10 | 2011-06-22 | 易程(苏州)软件股份有限公司 | 访问业务的安全控制方法、装置及系统 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110059110A (zh) * | 2019-04-12 | 2019-07-26 | 北京百度网讯科技有限公司 | 业务数据安全处理方法、装置、计算机设备和存储介质 |
| CN110059110B (zh) * | 2019-04-12 | 2021-05-28 | 北京百度网讯科技有限公司 | 业务数据安全处理方法、装置、计算机设备和存储介质 |
| CN111683107A (zh) * | 2020-08-14 | 2020-09-18 | 北京东方通软件有限公司 | 面向互联网的安全审计方法和系统 |
| CN112333171A (zh) * | 2020-10-28 | 2021-02-05 | 腾讯科技(深圳)有限公司 | 一种业务数据处理方法、装置及计算机设备 |
| CN112333171B (zh) * | 2020-10-28 | 2023-11-28 | 腾讯科技(深圳)有限公司 | 一种业务数据处理方法、装置及计算机设备 |
| CN112702336A (zh) * | 2020-12-22 | 2021-04-23 | 数字广东网络建设有限公司 | 政务服务的安全控制方法、装置、安全网关及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103078832B (zh) | 2016-05-18 |
| HK1180138A1 (zh) | 2013-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104954322B (zh) | 一种账号的绑定处理方法、装置及系统 | |
| CN103841239B (zh) | 终端真伪验证方法及装置 | |
| CN107423792B (zh) | 一种二维码的风险预警方法 | |
| CN103853841A (zh) | 一种社交网用户异常行为的分析方法 | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| CN103647779A (zh) | 一种通过二维码检测钓鱼欺诈信息的方法及装置 | |
| CN103166917A (zh) | 网络设备身份识别方法及系统 | |
| CN105207780B (zh) | 一种认证用户方法及装置 | |
| CN103685308A (zh) | 一种钓鱼网页的检测方法及系统、客户端、服务器 | |
| CN103718170A (zh) | 用于事件的分布式基于规则的相关的系统和方法 | |
| CN102624677A (zh) | 一种网络用户行为监控方法及服务器 | |
| CN104660481A (zh) | 即时通讯消息处理方法及装置 | |
| CN102200987A (zh) | 一种基于用户账号行为分析的查找马甲账号的方法及系统 | |
| CN104915829A (zh) | 基于nfc技术的应用交互方法及装置 | |
| CN103530365A (zh) | 获取资源的下载链接的方法及系统 | |
| CN103078832A (zh) | 一种互联网业务安全防御方法及系统 | |
| CN101951379A (zh) | 绿色浏览器及其使用的网址远程过滤机制 | |
| CN103685289A (zh) | 一种检测钓鱼网站的方法及装置 | |
| CN104778579A (zh) | 基于电子身份识别载体的感应支付方法及相应装置 | |
| CN107438054A (zh) | 基于公众平台实现菜单信息控制的方法及系统 | |
| CN109977641A (zh) | 一种基于行为分析的验证处理方法及系统 | |
| CN102708184A (zh) | 一种密码锁防伪二维码查询方法 | |
| CN110415025A (zh) | 一种验证方法及装置 | |
| CN103336693A (zh) | refer链的创建方法、装置及安全检测设备 | |
| CN105095714A (zh) | 一种基于指纹识别的用户体系识别系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1180138 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1180138 Country of ref document: HK |