CN106101155B - 一种保护网站的方法及装置 - Google Patents

一种保护网站的方法及装置 Download PDF

Info

Publication number
CN106101155B
CN106101155B CN201610711418.2A CN201610711418A CN106101155B CN 106101155 B CN106101155 B CN 106101155B CN 201610711418 A CN201610711418 A CN 201610711418A CN 106101155 B CN106101155 B CN 106101155B
Authority
CN
China
Prior art keywords
client
url
processing
server
website
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610711418.2A
Other languages
English (en)
Other versions
CN106101155A (zh
Inventor
汪宗斌
李伟
王翊心
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Infosec Technologies Co Ltd
Original Assignee
Beijing Infosec Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Infosec Technologies Co Ltd filed Critical Beijing Infosec Technologies Co Ltd
Priority to CN201610711418.2A priority Critical patent/CN106101155B/zh
Publication of CN106101155A publication Critical patent/CN106101155A/zh
Application granted granted Critical
Publication of CN106101155B publication Critical patent/CN106101155B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种保护网站的方法及装置,该方法包括服务器获取客户端的访问请求,若确定客户端为已知客户端,则服务器对所述第一URL依次进行第一解密处理和第二解密处理,并获取第二解密处理的结果,服务器根据所述第二解密处理的结果查询待访问网站的真实URL,并根据真实URL访问所述待访问网站,服务器将经过第二加密处理的访问内容进行第一加密处理之后返回客户端,以使客户端显示的所述访问内容不同于其它客户端。服务器对访问内容进行第二加密处理和第一加密处理之后,可以使得不同的客户端显示的访问内容不同,这样使得攻击者不能修改隐藏变量。预防撞库攻击,SQL注入、非法输入和隐藏变量篡改等攻击。

Description

一种保护网站的方法及装置
技术领域
本发明实施例涉及互联网技术领域,尤其涉及一种保护网站的方法及装置。
背景技术
随着互联网的迅猛发展,Web(互联网)站点成为攻击的主要目标,常见的Web攻击有两类:一类是利用Web服务器的漏洞进行攻击,如CGI(Common Gateway Interface,公共网关接口)缓冲区溢出,目录遍历漏洞利用等攻击;另一类是利用网页自身的安全漏洞进行攻击,如SQL(Structured Query Language,结构化查询语言)注入、非法输入、隐藏变量篡改等。目前普遍采用的防御方法是被动的对网站系统进行严格的测试以减少网页存在的漏洞,或者利用备份机制保存网站内容,以便遭受攻击后尽快恢复。
还有一类攻击Web站点的方式就是“撞库”,即用已知的用户名和口令来试探用户在被攻击网站是否使用相同的用户名和口令。
因此,亟需一种可以保护网站受到非法攻击的方法。
发明内容
本发明实施例提供一种保护网站的方法及装置,用以避免web网站因自身存在的安全漏洞而遭受非法攻击。
本发明实施例提供的一种保护网站的方法,包括:
服务器获取客户端的访问请求,所述访问请求中包括待访问网站的第一URL(Uniform Resource Locator,统一资源定位符);
若确定所述客户端为已知客户端,则所述服务器对所述第一URL依次进行第一解密处理和第二解密处理,并获取第二解密处理的结果,其中,所述第一解密处理为使用所述客户端所属的客户端密钥进行解密处理,所述第二解密处理为使用所述服务器的系统密钥进行解密处理,不同的客户端对应的客户端密钥不同;
所述服务器根据所述第二解密处理的结果查询所述待访问网站的真实URL,并根据所述真实URL访问所述待访问网站,获取经过第二加密处理的访问内容;
所述服务器将所述经过第二加密处理的访问内容进行第一加密处理之后返回所述客户端,以使所述客户端显示的所述访问内容不同于其它客户端,其中,所述第二加密处理为使用所述服务器的系统密钥进行加密处理,所述第一加密处理为使用所述客户端所属的客户端密钥进行加密处理。
较佳地,若确定所述客户端为新的客户端,则所述服务器确定所述第一URL为真实的URL,根据所述真实的URL访问所述待访问网站,获取经过第二加密处理的访问内容。
较佳地,在所述服务器根据所述第一URL访问所述待访问网站之前,还包括:
所述服务器为所述新的客户端分配新的客户端标识,生成所述新的客户端所属的客户端密钥并存储。
较佳地,所述服务器对所述第一URL进行第一解密处理和第二解密处理,并获取第二解密处理的结果,包括:
所述第一URL包括头部和尾部;
所述服务器获取所述客户端所属的客户端密钥以及自身的系统密钥;
所述服务器使用所述客户端密钥对所述第一URL的尾部进行第一解密处理;并使用所述系统密钥对所述第一解密处理后的第一URL的尾部进行第二解密处理,并获取第二解密处理的结果。
较佳地,若所述服务器根据所述第二解密处理的结果未查询到所述待访问网站的真实URL,则所述服务器根据所述第一URL访问所述待访问网站。
较佳地,所述服务器根据所述真实URL访问所述待访问网站,获取经过第二加密处理的访问内容,包括:
所述服务器根据所述真实URL访问待访问网站,确定是否已缓存经过第二加密处理的访问内容;
若是,则所述服务器获取所述缓存的经过第二加密处理的访问内容。
较佳地,所述服务器通过真实URL访问的访问内容包括所述待访问网站的真实URL和表单属性;
若确定未缓存经过第二加密处理的访问内容,则所述服务器对所述真实URL和表单属性使用系统密钥进行第二加密处理,并映射为头部和尾部的形式进行缓存。
较佳地,所述服务器将所述经过第二加密处理的访问内容进行第一加密处理,包括:
所述服务器使用所述客户端所属的客户端密钥将所述经过第二加密处理的所述真实URL和表单属性进行第一加密处理,以使所述客户端使用所述经过第一加密处理的真实URL访问所述待访问网站。
相应地,本发明实施例还提供了一种保护网站的装置,包括:
获取单元,用于获取客户端的访问请求,所述访问请求中包括待访问网站的第一URL;
处理单元,用于若确定所述客户端为已知客户端,则对所述第一URL依次进行第一解密处理和第二解密处理,并获取第二解密处理的结果,其中,所述第一解密处理为使用所述客户端所属的客户端密钥进行解密处理,所述第二解密处理为使用服务器的系统密钥进行解密处理,不同的客户端对应的客户端密钥不同;根据所述第二解密处理的结果查询所述待访问网站的真实URL,并根据所述真实URL访问所述待访问网站,获取经过第二加密处理的访问内容;
发送单元,用于将所述经过第二加密处理的访问内容进行第一加密处理之后返回所述客户端,以使所述客户端显示的所述访问内容不同于其它客户端,其中,所述第二加密处理为使用所述服务器的系统密钥进行加密处理,所述第一加密处理为使用所述客户端所属的客户端密钥进行加密处理。
较佳地,所述处理单元还用于:
若确定所述客户端为新的客户端,则确定所述第一URL为真实的URL,根据所述真实的URL访问所述待访问网站,获取经过第二加密处理的访问内容。
较佳地,所述处理单元还用于:
在根据所述第一URL访问所述待访问网站之前,为所述新的客户端分配新的客户端标识,生成所述新的客户端所属的客户端密钥并存储。
较佳地,所述处理单元具体用于:
所述第一URL包括头部和尾部;
获取所述客户端所属的客户端密钥以及所述服务器的系统密钥;
使用所述客户端密钥对所述第一URL的尾部进行第一解密处理;并使用所述系统密钥对所述第一解密处理后的第一URL的尾部进行第二解密处理,并获取第二解密处理的结果。
较佳地,所述处理单元还用于:
若根据所述第二解密处理的结果未查询到所述待访问网站的真实URL,则根据所述第一URL访问所述待访问网站。
较佳地,所述处理单元具体用于:
根据所述真实URL访问待访问网站,确定是否已缓存经过第二加密处理的访问内容;
若是,则所述服务器获取所述缓存的经过第二加密处理的访问内容。
较佳地,所述处理单元具体用于:
所述通过真实URL访问的访问内容包括所述待访问网站的真实URL和表单属性;
若确定未缓存经过第二加密处理的访问内容,则对所述真实URL和表单属性使用系统密钥进行第二加密处理,并映射为头部和尾部的形式进行缓存。
较佳地,所述处理单元具体用于:
使用所述客户端所属的客户端密钥将所述经过第二加密处理的所述真实URL和表单属性进行第一加密处理,以使所述客户端使用所述经过第一加密处理的真实URL访问所述待访问网站。
本发明实施例表明,服务器获取客户端的访问请求,访问请求中包括待访问网站的第一URL,若确定客户端为已知客户端,则服务器对所述第一URL依次进行第一解密处理和第二解密处理,并获取第二解密处理的结果,服务器根据所述第二解密处理的结果查询待访问网站的真实URL,并根据真实URL访问所述待访问网站,获取经过第二加密处理的访问内容,服务器将经过第二加密处理的访问内容进行第一加密处理之后返回客户端,以使客户端显示的所述访问内容不同于其它客户端。服务器经过第一解密处理和第二解密处理,可以得到真实URL,不同的客户端对应的第一URL不同,但是得到的真实URL相同,可以避免在访问过程中受到攻击。对访问内容进行第二加密处理和第一加密处理之后,可以使得不同的客户端显示的访问内容不同,这样使得攻击者不能修改隐藏变量。预防撞库攻击,SQL注入、非法输入和隐藏变量篡改等攻击。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种保护网站的方法的流程示意图;
图2为本发明实施例提供的一种保护网站的方法的流程示意图;
图3为本发明实施例提供的一种保护网站的装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中,用户客户端的所有访问都需要经过本发明实施例进行处理后再转发到web站点,web站点返回的内容进行处理后在返回给用户客户端。
图1示出了本发明实施例提供的一种保护网站的流程,该流程可以由保护网站的装置执行,该装置可以位于服务器内,也可以是该服务器。
如图1所示,该流程具体步骤包括:
步骤101,服务器获取客户端的访问请求,所述访问请求中包括待访问网站的第一URL。
步骤102,若确定所述客户端为已知客户端,则所述服务器对所述第一URL依次进行第一解密处理和第二解密处理,并获取第二解密处理的结果。
步骤103,所述服务器根据所述第二解密处理的结果查询所述待访问网站的真实URL,并根据所述真实URL访问所述待访问网站,获取经过第二加密处理的访问内容。
步骤104,所述服务器将所述经过第二加密处理的访问内容进行第一加密处理之后返回所述客户端,以使所述客户端显示的所述访问内容不同于其它客户端。
在本发明实施例中,访问请求中包括待访问网站的第一URL,若该客户端为已知客户端,则该第一URL为两次加密处理之后的URL,如果该客户端为新的客户端,则说明该第一URL为真实的URL,也就是待访问网站的访问入口。
在步骤102中,当确定该客户端为已知客户端时,服务器对上述第一URL依次进行第一解密处理和第二解密处理,并获取经过第二解密处理后的结果。该第一解密处理为使用客户端所属的客户端密钥进行解密处理,该第二解密处理为使用服务器的系统密钥进行解密处理,不同的客户端对应的客户端密钥不同,以使不同的客户端显示的访问内容不同。
具体的,上述第一URL包括头部和尾部,服务器需要获取该客户端所属的客户端密钥和自身的系统密钥。然后使用客户端密钥对该第一URL的尾部进行第一解密处理,并使用系统密钥对该第一解密处理后的第一URL的尾部进行第二解密处理,并获取第二解密处理的结果。
举例来说,服务器存储的客户端密钥为9abchdef0,系统密钥为98765432,第一URL为“I_12345678”,该第一URL的头部为“I_”,尾部为“12345678”。使用客户端密钥对该第一URL的尾部进行第一解密处理,比如可以通过异或的方式进行处理,第一解密处理的结果为12345678xor 9abcdef0=88888888,将“I_88888888”使用系统密钥进行第二解密处理,也可以采用异或的方式进行处理,88888888xor 98765432=10FEDCBA,就可以获取第二解密处理后的结果“I_10FEDCBA”。
在得到第二解密处理后的结果之后,服务器根据该第二解密处理后的结果查询待访问网站的真实URL,并根据该真实URL访问待访问网站,获取经过第二加密处理的访问内容。该访问内容可以包括上述待访问网站的真实URL和表单属性。该第二加密处理为使用服务器的系统密钥进行加密处理。第二加密处理为使用客户端密钥进行加密处理。若服务器根据上述第二解密处理的结果未查询到该待访问的真实URL,则说明该客户端为新的客户端,该第一URL也就是真实URL,服务器可以根据该第一URL访问待访问网站。
具体的,服务器根据真实URL访问待访问网站,确定是否已缓存经过第二加密处理的访问内容,若确定已缓存经过第二加密处理的访问内容,在服务器获取该缓存的经过第二加密处理的访问内容。若确定未缓存经过第二加密处理的访问内容,则服务器对真实URL和表单属性使用系统密钥进行第二加密处理,并映射为头部和尾部的形式进行缓存。该缓存的经过第二加密处理的访问内容,也可以供其他的客户端访问时使用,其他的客户端使用其所属的URL访问待访问网站时,同样可以获取该缓存的经过第二加密处理的访问内容,只是在经过第一加密处理之后,不同的客户端得到的访问内容也就不相同。
该经过第二加密处理的访问内容进行第一加密处理具体为服务器使用客户端所属的客户端密钥将经过第二加密处理的真实URL和表单属性进行第一加密处理,以使客户端使用该经过第一加密处理的真实URL访问待访问网站。也就是说,客户端在访问该待访问网站之后,后期再次进行访问的时候,就可以根据该经过第一加密处理的真实URL进行访问,然后服务器进行两次解密处理。由于经过两次处理之后,使得不同的客户端使用不同的变量名称,可以预防撞库攻击,SQL注入、非法输入和隐藏变量篡改等攻击。
在上述步骤102中,若确定该客户端为新的客户端,则服务器确定上述第一URL为真实的URL,根据该真实的URL访问待访问网站,获取经过第二加密处理的访问内容。在访问该待访问网站之前,服务器还需要为该新的客户端分配新的客户端标识,生成该新的客户端所属的客户端密钥并存储。以供该客户端下次访问时使用。
举例来说,待访问网站的域名为www.test.com,在不使用加密保护时的页面1的URL为https://www.infosec.com.cn/cas/api/javascript/casx.js,此时所有客户端看到的URL都是同一个。而页面2原URL为https://www.test.com/javascript/core-casx.js,经过本发明实施例提供的保护网站的方法进行加密保护之后,客户端1看到的URL可以为https://www.test.com/xusddfu34234lmlsjdf82sldfjsf,客户端2看到的URL可以为https://www.test.com/sahiahihpgue85443648sdhih。因此,不同的客户端根据各自的客户端密钥得出的URL不同。
为了更好的解释本发明实施例,下面将以图2所示的流程,具体的描述保护网站的流程。
步骤201,获取用户请求。该用户请求包括待访问网站的URL。
步骤202,判断是否为已知用户,若是,则转入步骤203,若否,则转入步骤214。
步骤203,获取用户密钥。该用户密钥存储在服务器中。
步骤204,提取用户请求。提取用户请求中的URL
步骤205,判断是否为入口URL,若是,则转入步骤206,若否,则转入步骤216。
步骤206,发起真实访问请求。通过URL访问待访问网站。
步骤207,获取访问内容。获取访问后的访问内容。
步骤208,判断是否已缓存进行一次处理的访问内容,若是,则转入步骤209,若否,则转入步骤218。
步骤209,提取缓存的已经进行一次处理的访问内容。
步骤210,返回一次处理后的访问内容。
步骤211,对访问内容进行二次处理。使用用户密钥对访问内容进行加密。对返回内容用用户密钥进行二次处理,使得每个用户在自己的设备上看到的URI和表单属性都不同。这样攻击者不能修改隐藏变量,因为经过二次处理的隐藏变量名称已经与用户相关,不同用户使用不同的变量名称;用户不能修改;SQL注入的前提是能够使用不同的统一表单属性进行不断试验才能找到注入缺口,但经二次处理后,注入缺口与用户相关,导致无法注入。非法输入也是类似情形。由于表单属性变为动态的,预防撞库攻击的特别有效。
步骤212,返回用户。将进行加密的访问内容返回给用户。
步骤213,分配新用户标识。为新用户分配新的用户标识。
步骤214,分配用户密钥。为新用户分配用户密钥。
步骤215,对用户请求进行二次处理。对用户请求中的URL使用用户密钥进行解密。
步骤216,对用户请求进行一次处理。对用户请求中的URL使用系统密钥进行解密。
步骤217,对访问内容进行一次处理。对访问内容使用系统密钥进行加密。将访问内容中的URI和表单属性用系统密钥加密映射为I_10FEDCBA的形式并替换返回的访问内容中的对应部分,将映射关系存储在系统中。
步骤218,缓存一次处理的访问内容。缓存经过系统密钥加密后的访问内容。
上述实施例表明,服务器通过获取客户端的访问请求,访问请求中包括待访问网站的第一URL,若确定客户端为已知客户端,则服务器对所述第一URL依次进行第一解密处理和第二解密处理,并获取第二解密处理的结果,服务器根据所述第二解密处理的结果查询待访问网站的真实URL,并根据真实URL访问所述待访问网站,获取经过第二加密处理的访问内容,服务器将经过第二加密处理的访问内容进行第一加密处理之后返回客户端,以使客户端显示的所述访问内容不同于其它客户端。服务器经过第一解密处理和第二解密处理,可以得到真实URL,不同的客户端对应的第一URL不同,但是得到的真实URL相同,可以避免在访问过程中受到攻击。对访问内容进行第二加密处理和第一加密处理之后,可以使得不同的客户端显示的访问内容不同,这样使得攻击者不能修改隐藏变量。预防撞库攻击,SQL注入、非法输入和隐藏变量篡改等攻击。
基于相同的技术构思,图3示出了本发明实施例提供的一种保护网站的装置的结构,该装置可以执行保护网站的流程,该装置可以位于服务器内,也可以是该服务器。
如图3所示,该装置具体包括:
获取单元301,用于获取客户端的访问请求,所述访问请求中包括待访问网站的第一URL;
处理单元302,用于若确定所述客户端为已知客户端,则对所述第一URL依次进行第一解密处理和第二解密处理,并获取第二解密处理的结果,其中,所述第一解密处理为使用所述客户端所属的客户端密钥进行解密处理,所述第二解密处理为使用服务器的系统密钥进行解密处理,不同的客户端对应的客户端密钥不同;根据所述第二解密处理的结果查询所述待访问网站的真实URL,并根据所述真实URL访问所述待访问网站,获取经过第二加密处理的访问内容;
发送单元303,用于将所述经过第二加密处理的访问内容进行第一加密处理之后返回所述客户端,以使所述客户端显示的所述访问内容不同于其它客户端,其中,所述第二加密处理为使用所述服务器的系统密钥进行加密处理,所述第一加密处理为使用所述客户端所属的客户端密钥进行加密处理。
较佳地,所述处理单元302还用于:
若确定所述客户端为新的客户端,则确定所述第一URL为真实的URL,根据所述真实的URL访问所述待访问网站,获取经过第二加密处理的访问内容。
较佳地,所述处理单元302还用于:
在根据所述第一URL访问所述待访问网站之前,为所述新的客户端分配新的客户端标识,生成所述新的客户端所属的客户端密钥并存储。
较佳地,所述处理单元302具体用于:
所述第一URL包括头部和尾部;
获取所述客户端所属的客户端密钥以及所述服务器的系统密钥;
使用所述客户端密钥对所述第一URL的尾部进行第一解密处理;并使用所述系统密钥对所述第一解密处理后的第一URL的尾部进行第二解密处理,并获取第二解密处理的结果。
较佳地,所述处理单元302还用于:
若根据所述第二解密处理的结果未查询到所述待访问网站的真实URL,则根据所述第一URL访问所述待访问网站。
较佳地,所述处理单元302具体用于:
根据所述真实URL访问待访问网站,确定是否已缓存经过第二加密处理的访问内容;
若是,则所述服务器获取所述缓存的经过第二加密处理的访问内容。
较佳地,所述处理单元302具体用于:
所述通过真实URL访问的访问内容包括所述待访问网站的真实URL和表单属性;
若确定未缓存经过第二加密处理的访问内容,则对所述真实URL和表单属性使用系统密钥进行第二加密处理,并映射为头部和尾部的形式进行缓存。
较佳地,所述处理单元302具体用于:
使用所述客户端所属的客户端密钥将所述经过第二加密处理的所述真实URL和表单属性进行第一加密处理,以使所述客户端使用所述经过第一加密处理的真实URL访问所述待访问网站。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (12)

1.一种保护网站的方法,其特征在于,包括:
服务器获取客户端的访问请求,所述访问请求中包括待访问网站的第一统一资源定位符URL;
若确定所述客户端为已知客户端,则所述服务器对所述第一URL依次进行第一解密处理和第二解密处理,并获取第二解密处理的结果,其中,所述第一解密处理为使用所述客户端所属的客户端密钥进行解密处理,所述第二解密处理为使用所述服务器的系统密钥进行解密处理,不同的客户端对应的客户端密钥不同;
所述服务器根据所述第二解密处理的结果查询所述待访问网站的真实URL,并根据所述真实URL访问所述待访问网站,获取经过第二加密处理的访问内容;
所述服务器将所述经过第二加密处理的访问内容进行第一加密处理之后返回所述客户端,以使所述客户端显示的所述访问内容不同于其它客户端,其中,所述第二加密处理为使用所述服务器的系统密钥进行加密处理,所述第一加密处理为使用所述客户端所属的客户端密钥进行加密处理;
所述服务器根据所述真实URL访问所述待访问网站,获取经过第二加密处理的访问内容,包括:
所述服务器根据所述真实URL访问所述待访问网站,确定是否已缓存经过第二加密处理的访问内容;
若是,则所述服务器获取所述缓存的经过第二加密处理的访问内容;
所述访问内容包括所述待访问网站的真实URL和表单属性;
若确定未缓存经过第二加密处理的访问内容,则所述服务器对所述真实URL和表单属性使用系统密钥进行第二加密处理,并映射为头部和尾部的形式进行缓存。
2.如权利要求1所述的方法,其特征在于,若确定所述客户端为新的客户端,则所述服务器确定所述第一URL为真实的URL,根据所述真实的URL访问所述待访问网站,获取经过第二加密处理的访问内容。
3.如权利要求2所述的方法,其特征在于,在所述服务器根据所述第一URL访问所述待访问网站之前,还包括:
所述服务器为所述新的客户端分配新的客户端标识,生成所述新的客户端所属的客户端密钥并存储。
4.如权利要求1所述的方法,其特征在于,所述服务器对所述第一URL进行第一解密处理和第二解密处理,并获取第二解密处理的结果,包括:
所述第一URL包括头部和尾部;
所述服务器获取所述客户端所属的客户端密钥以及自身的系统密钥;
所述服务器使用所述客户端密钥对所述第一URL的尾部进行第一解密处理;并使用所述系统密钥对所述第一解密处理后的第一URL的尾部进行第二解密处理,并获取第二解密处理的结果。
5.如权利要求1所述的方法,其特征在于,若所述服务器根据所述第二解密处理的结果未查询到所述待访问网站的真实URL,则所述服务器根据所述第一URL访问所述待访问网站。
6.如权利要求1所述的方法,其特征在于,所述服务器将所述经过第二加密处理的访问内容进行第一加密处理,包括:
所述服务器使用所述客户端所属的客户端密钥将所述经过第二加密处理的所述真实URL和表单属性进行第一加密处理,以使所述客户端使用所述经过第一加密处理的真实URL访问所述待访问网站。
7.一种保护网站的装置,其特征在于,包括:
获取单元,用于获取客户端的访问请求,所述访问请求中包括待访问网站的第一统一资源定位符URL;
处理单元,用于若确定所述客户端为已知客户端,则对所述第一URL依次进行第一解密处理和第二解密处理,并获取第二解密处理的结果,其中,所述第一解密处理为使用所述客户端所属的客户端密钥进行解密处理,所述第二解密处理为使用服务器的系统密钥进行解密处理,不同的客户端对应的客户端密钥不同;根据所述第二解密处理的结果查询所述待访问网站的真实URL,并根据所述真实URL访问所述待访问网站,获取经过第二加密处理的访问内容;
发送单元,用于将所述经过第二加密处理的访问内容进行第一加密处理之后返回所述客户端,以使所述客户端显示的所述访问内容不同于其它客户端,其中,所述第二加密处理为使用所述服务器的系统密钥进行加密处理,所述第一加密处理为使用所述客户端所属的客户端密钥进行加密处理;
所述处理单元具体用于:
根据所述真实URL访问所述待访问网站,确定是否已缓存经过第二加密处理的访问内容;
若是,则所述服务器获取所述缓存的经过第二加密处理的访问内容;
所述处理单元具体用于:
所述访问内容包括所述待访问网站的真实URL和表单属性;
若确定未缓存经过第二加密处理的访问内容,则对所述真实URL和表单属性使用系统密钥进行第二加密处理,并映射为头部和尾部的形式进行缓存。
8.如权利要求7所述的装置,其特征在于,所述处理单元还用于:
若确定所述客户端为新的客户端,则确定所述第一URL为真实的URL,根据所述真实的URL访问所述待访问网站,获取经过第二加密处理的访问内容。
9.如权利要求8所述的装置,其特征在于,所述处理单元还用于:
在根据所述第一URL访问所述待访问网站之前,为所述新的客户端分配新的客户端标识,生成所述新的客户端所属的客户端密钥并存储。
10.如权利要求7所述的装置,其特征在于,所述处理单元具体用于:
所述第一URL包括头部和尾部;
获取所述客户端所属的客户端密钥以及所述服务器的系统密钥;
使用所述客户端密钥对所述第一URL的尾部进行第一解密处理;并使用所述系统密钥对所述第一解密处理后的第一URL的尾部进行第二解密处理,并获取第二解密处理的结果。
11.如权利要求7所述的装置,其特征在于,所述处理单元还用于:
若根据所述第二解密处理的结果未查询到所述待访问网站的真实URL,则根据所述第一URL访问所述待访问网站。
12.如权利要求7所述的装置,其特征在于,所述处理单元具体用于:
使用所述客户端所属的客户端密钥将所述经过第二加密处理的所述真实URL和表单属性进行第一加密处理,以使所述客户端使用所述经过第一加密处理的真实URL访问所述待访问网站。
CN201610711418.2A 2016-08-23 2016-08-23 一种保护网站的方法及装置 Active CN106101155B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610711418.2A CN106101155B (zh) 2016-08-23 2016-08-23 一种保护网站的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610711418.2A CN106101155B (zh) 2016-08-23 2016-08-23 一种保护网站的方法及装置

Publications (2)

Publication Number Publication Date
CN106101155A CN106101155A (zh) 2016-11-09
CN106101155B true CN106101155B (zh) 2020-08-21

Family

ID=57226191

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610711418.2A Active CN106101155B (zh) 2016-08-23 2016-08-23 一种保护网站的方法及装置

Country Status (1)

Country Link
CN (1) CN106101155B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106940778B (zh) * 2017-03-10 2020-10-16 华东师范大学 一种基于gpu并行字典破解托库中的加密数据方法
CN110365626B (zh) * 2018-04-09 2022-12-06 厦门雅迅网络股份有限公司 防撞库的用户登录安全认证方法、终端设备及存储介质
CN109617917A (zh) * 2019-01-21 2019-04-12 深圳市能信安科技股份有限公司 地址虚拟化Web应用安全防火墙方法、装置和系统
CN111008345B (zh) * 2019-11-28 2020-12-15 蜂助手股份有限公司 一种访问定点访问url的方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103229181A (zh) * 2010-10-13 2013-07-31 阿卡麦科技公司 通过对url进行模糊处理来保护网站和网站用户
CN104009989A (zh) * 2014-05-22 2014-08-27 Tcl集团股份有限公司 一种媒体文件的防盗链方法、系统及服务器
CN105516208A (zh) * 2016-01-28 2016-04-20 邱铭钗 一种有效防止网络攻击的web网站链接动态隐藏方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100138910A1 (en) * 2008-12-03 2010-06-03 Check Point Software Technologies, Ltd. Methods for encrypted-traffic url filtering using address-mapping interception

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103229181A (zh) * 2010-10-13 2013-07-31 阿卡麦科技公司 通过对url进行模糊处理来保护网站和网站用户
CN104009989A (zh) * 2014-05-22 2014-08-27 Tcl集团股份有限公司 一种媒体文件的防盗链方法、系统及服务器
CN105516208A (zh) * 2016-01-28 2016-04-20 邱铭钗 一种有效防止网络攻击的web网站链接动态隐藏方法及装置

Also Published As

Publication number Publication date
CN106101155A (zh) 2016-11-09

Similar Documents

Publication Publication Date Title
US9716726B2 (en) Method of identifying and counteracting internet attacks
CN107341160B (zh) 一种拦截爬虫的方法及装置
US9438625B1 (en) Mitigating scripted attacks using dynamic polymorphism
US11126749B2 (en) Apparatus and method for securing web application server source code
CN106101155B (zh) 一种保护网站的方法及装置
US10747787B2 (en) Web cookie virtualization
US10476733B2 (en) Single sign-on system and single sign-on method
CN107046544B (zh) 一种识别对网站的非法访问请求的方法和装置
AU2015409179B2 (en) Machine-driven crowd-disambiguation of data resources
CN105187389B (zh) 一种基于数字混淆加密的网页访问方法及系统
US9749130B2 (en) Distributing keys for decrypting client data
CN104283903B (zh) 文件的下载方法及装置
US8977857B1 (en) System and method for granting access to protected information on a remote server
CN111460503B (zh) 数据分享方法、装置、设备和存储介质
CN106411823B (zh) 一种基于cdn的访问控制方法及相关设备
US20100306184A1 (en) Method and device for processing webpage data
CN109450858B (zh) 资源请求的方法、装置、设备及存储介质
CN105635064B (zh) Csrf攻击检测方法及装置
CN108449187B (zh) 一种令牌刷新的方法及装置
CN107040520B (zh) 一种云计算数据共享系统及方法
CN106210158B (zh) 一种域名解析的同步方法和设备
US20180302437A1 (en) Methods of identifying and counteracting internet attacks
CN113904810B (zh) 一种隐私保护安全浏览方法
CN105827673B (zh) 一种防盗链的方法、装置及网络服务器
CN107276967B (zh) 一种分布式系统及其登录验证方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 100093 Haidian District, Haidian District, Beijing, No. 23, No. 2, No. 1001

Applicant after: Beijing Xin'an century Polytron Technologies Inc

Address before: 100052 Beijing city Haidian District Bei wa Lu Xi Li No. 21 block A No. 8246

Applicant before: Beijing Infosec Technologies Co.,Ltd.

GR01 Patent grant
GR01 Patent grant