CN107332784B - 一种用于服务器接口的安全防护系统 - Google Patents

一种用于服务器接口的安全防护系统 Download PDF

Info

Publication number
CN107332784B
CN107332784B CN201710464815.9A CN201710464815A CN107332784B CN 107332784 B CN107332784 B CN 107332784B CN 201710464815 A CN201710464815 A CN 201710464815A CN 107332784 B CN107332784 B CN 107332784B
Authority
CN
China
Prior art keywords
parameter
request
server interface
interface
processing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710464815.9A
Other languages
English (en)
Other versions
CN107332784A (zh
Inventor
雷晓鹏
耿荣健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Gaodun Education Technology Co ltd
Original Assignee
Shanghai Gaodun Education Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Gaodun Education Technology Co ltd filed Critical Shanghai Gaodun Education Technology Co ltd
Priority to CN201710464815.9A priority Critical patent/CN107332784B/zh
Publication of CN107332784A publication Critical patent/CN107332784A/zh
Application granted granted Critical
Publication of CN107332784B publication Critical patent/CN107332784B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/20Traffic policing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/215Flow control; Congestion control using token-bucket

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种用于服务器接口的安全防护系统,用于与服务器接口连接实现对进入服务器接口的请求的过滤,所述系统包括:流量限制模块,用于对进入服务器接口的请求进行多维度的流量限制;安全限制模块,用于对进入服务器接口的请求进行安全验证,并对验证不通过的请求进行过滤。与现有技术相比,本发明具有模块化程度高、配置灵活以及适用范围广等优点。

Description

一种用于服务器接口的安全防护系统
技术领域
本发明涉及服务器的安全防护领域,尤其是涉及一种用于服务器接口的安全防护系统。
背景技术
现有的服务器接口防护中,对于流量限制主要依靠令牌桶原理限制,参数安全依靠入口参数格式验证及扩展了参数过滤,参数值按照业务需求处理,做参数映射。
令牌桶算法是网络流量整形和速率限制中最常使用的一种算法。典型情况下,令牌桶算法用来控制发送到网络上的数据的数目,并允许突发数据的发送。现有的令牌桶算法,更多的是一套理论,并没有成型的组件可以使用。
参数安全使用基本依靠自己的编码习惯对参数进行简单的处理,比如格式化,范围判断,类型处理等。并且是更多的散落在各自的小项目中,没有完整的整理出来,没有统一的规范,各自为政,不能统一管理,导致最后也容易废弃掉。
发明内容
本发明的目的是针对上述问题提供一种用于服务器接口的安全防护系统。
本发明的目的可以通过以下技术方案来实现:
一种用于服务器接口的安全防护系统,用于与服务器接口连接实现对进入服务器接口的请求的过滤,所述系统包括:
流量限制模块,用于对进入服务器接口的请求进行多维度的流量限制;
安全限制模块,用于对进入服务器接口的请求进行安全验证,并对验证不通过的请求进行过滤。
所述流量限制模块包括:
流量限制参数配置接口,用于接收外界传递的流量限制参数;
流量限制执行组件,用于根据流量限制参数配置接口传递的流量限制参数,对进入服务器接口的请求进行多维度的流量限制。
所述流量限制参数包括总限制参数和单体限制参数。
所述总限制参数包括进入服务器接口的请求的数量限制参数,所述单体限制参数包括对进入服务器接口中单一模块的请求的数量限制参数、对进入服务器接口的单一类型请求的数量限制参数和对进入服务器接口的单一用户的请求的数量限制参数。
所述流量限制执行组件包括:
参数匹配判断器,用于将进入服务器接口的请求与流量限制参数配置接口传递的流量限制参数进行匹配,判断进入服务器接口的请求是否符合要求;
流量限制执行器,用于在参数匹配判断器的匹配结果为是时通过进入服务器接口的请求,在参数匹配判断器的匹配结果为否时阻止进入服务器接口的请求并返回错误。
所述安全限制模块包括:
安全限制参数配置接口,用于接收外界传递的安全限制参数;
请求处理参数配置接口,用于接收外界传递的请求处理参数;
安全限制执行组件,用于根据安全限制参数配置接口传递的安全限制参数,对不符合安全限制的请求进行过滤,根据请求处理参数配置接口传递的请求处理参数对符合安全限制的请求进行请求处理。
所述请求处理包括类型处理、格式处理、参数名处理、参数值处理和回调处理。
与现有技术相比,本发明具有以下有益效果:
(1)将流量限制和安全限制均模块化处理,解决了现有技术中基于令牌桶算法的流量限制无成型组件可用以及参数安全限制没有统一的规范的缺陷,通过二者模块化的配合,使得该安全防护系统可以匹配现有的大部分服务器,用户在使用时只需进行参数的配置即可自动完成安全防护,自动化程度高且适用范围广,且流量限制模块和安全限制模块可以根据用户的需求自行进行顺序的选择,灵活程度高。
(2)流量限制模块包括流量限制参数配置接口和流量限制执行组件,通过流量限制参数配置接口,可以根据用户的需求对进入服务器的请求进行流量上的限制,配置灵活且便于修改,因此可以在不同的服务器上大量应用,适用范围广。
(3)流量限制参数包括总限制参数和单体限制参数,总限制参数中主要是对进入服务器的请求数量进行限制,而单体限制参数则可以对进入服务器单一模块的请求、单一类型的请求或单一用户的请求均进行数量上的限制,从而实现对请求的多维度限制,限制方式全面且可以灵活配置。
(4)流量限制执行组件基于令牌桶算法,通过与流量限制参数配置接口传递的流量限制参数进行匹配,来判断进入服务器接口的请求是否符合流量限制的要求,方法简便且便于系统处理,实用性能强。
(5)安全限制模块包括安全限制参数配置接口、请求处理参数配置接口和安全限制执行组件,除了能根据配置的安全限制参数对不符合安全要求的请求进行过滤外,还可以对进入服务器的请求进行基本处理,降低了后续的工作量。
(6)请求处理包括类型处理、格式处理、参数名处理和回调处理,通过对类型、格式和参数名的相关修改与转换使得进入服务器的请求能快速与服务器相匹配,而回调处理可以将服务器内无法识别的请求进行返回重新处理,避免了服务器无法识别的情况。
附图说明
图1为安全防护系统的结构示意图;
图2为安全防护系统在进行一次安全防护过程中的工作流程图;
其中,1为流量限制模块,2为安全限制模块,3为服务器接口,11为流量限制参数配置接口,12为流量限制执行组件,21为安全限制参数配置接口,22为请求处理参数配置接口,23为安全限制执行组件。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。本实施例以本发明技术方案为前提进行实施,给出了详细的实施方式和具体的操作过程,但本发明的保护范围不限于下述的实施例。
如图1所示,本实施例中提供了一种用于服务器接口的安全防护系统,用于与服务器接口3连接实现对进入服务器接口3的请求的过滤,该系统包括:流量限制模块1,用于对进入服务器接口3的请求进行多维度的流量限制;安全限制模块2,用于对进入服务器接口3的请求进行安全验证,并对验证不通过的请求进行过滤。
其中,流量限制模块1包括:流量限制参数配置接口11,用于接收外界传递的流量限制参数;流量限制执行组件12,用于根据流量限制参数配置接口11传递的流量限制参数,对进入服务器接口3的请求进行多维度的流量限制。流量限制参数包括总限制参数和单体限制参数。总限制参数包括进入服务器接口3的请求的数量限制参数,单体限制参数包括对进入服务器接口3中单一模块的请求的数量限制参数、对进入服务器接口3的单一类型请求的数量限制参数和对进入服务器接口3的单一用户的请求的数量限制参数。流量限制执行组件12包括:参数匹配判断器,用于将进入服务器接口3的请求与流量限制参数配置接口11传递的流量限制参数进行匹配,判断进入服务器接口3的请求是否符合要求;流量限制执行器,用于在参数匹配判断器的匹配结果为是时通过进入服务器接口3的请求,在参数匹配判断器的匹配结果为否时阻止进入服务器接口3的请求并返回错误。安全限制模块2包括:安全限制参数配置接口21,用于接收外界传递的安全限制参数;请求处理参数配置接口22,用于接收外界传递的请求处理参数;安全限制执行组件23,用于根据安全限制参数配置接口21传递的安全限制参数,对不符合安全限制的请求进行过滤,根据请求处理参数配置接口22传递的请求处理参数对符合安全限制的请求进行请求处理。请求处理包括类型处理、格式处理、参数名处理、参数值处理和回调处理。
下面对上述结构进行具体阐述,本系统采用了组件化的模式,利用composer直接下载,自动完成依赖安装,在使用中仅仅需要简单的配置,流量需要设置某个模块的访问速率(单位时间访问个数),或者是进一步的具体设置,在入口位置调用组件的检测方法,通过会进行下一步。对参数验证主要是选择字段值的类型(可以指定多个),写入规则,在入口接入组件,只用调用入口方法,传入所有的请求参数,就能完成复杂的请求安全过滤功能。
在接口流量限制中,采用了限制访问次数的模式,但是针对同一个请求又采用了多维度的限制模式。不仅仅会限制整个项目访问次数,还可以限制对某个项目的访问次数,单模块,单动作,单用户的限制次数。在接口参数过滤中,采用统一接受到所有的参数,对参数进行处理,主要处理项:类型,格式,参数名,参数值,回调。一旦发现有不符合要求的参数立马返回结果结束,全部处理完毕通过获取安全参数的方法获取到安全参数。具体的实现过程如图2所示(图2中的流程中流量限制只限制了请求次数而没有对单一模块等进行限制),流量限制模块1在启动时读入数组配置,简单的分析URL就能定位出本次请求是某个项目,要访问的模块、动作,以及是否有用户参数,就按照这是数组的key,能得到具体的限制策略。基于策略生成key,在找到key后,存储方式是key加周期的过期时间。同时存入已经请求数量个数。在redis中采用二分叉快速找到key的最大值,以及在周期内请求的数量。判断次数后确定是否进行下一项处理。安全限制模块2首先接收到所有的参数,url分析,读取配置的策略文件,依次处理参数,有通过的返回参数错误信息。通过后存在指定位置,可按照场景存储。最终在业务层处理文件。

Claims (4)

1.一种用于服务器接口的安全防护系统,用于与服务器接口连接实现对进入服务器接口的请求的过滤,其特征在于,所述系统包括:
流量限制模块,用于对进入服务器接口的请求进行多维度的流量限制;
安全限制模块,用于对进入服务器接口的请求进行安全验证,并对验证不通过的请求进行过滤;
其中所述流量限制模块包括:
流量限制参数配置接口,用于接收外界传递的流量限制参数;
流量限制执行组件,用于根据流量限制参数配置接口传递的流量限制参数,对进入服务器接口的请求进行多维度的流量限制;
其中所述流量限制参数包括总限制参数和单体限制参数;
其中所述总限制参数包括进入服务器接口的请求的数量限制参数,所述单体限制参数包括对进入服务器接口中单一模块的请求的数量限制参数、对进入服务器接口的单一类型请求的数量限制参数和对进入服务器接口的单一用户的请求的数量限制参数。
2.根据权利要求1所述的用于服务器接口的安全防护系统,其特征在于,所述流量限制执行组件包括:
参数匹配判断器,用于将进入服务器接口的请求与流量限制参数配置接口传递的流量限制参数进行匹配,判断进入服务器接口的请求是否符合要求;
流量限制执行器,用于在参数匹配判断器的匹配结果为是时通过进入服务器接口的请求,在参数匹配判断器的匹配结果为否时阻止进入服务器接口的请求并返回错误。
3.根据权利要求1所述的用于服务器接口的安全防护系统,其特征在于,所述安全限制模块包括:
安全限制参数配置接口,用于接收外界传递的安全限制参数;
请求处理参数配置接口,用于接收外界传递的请求处理参数;
安全限制执行组件,用于根据安全限制参数配置接口传递的安全限制参数,对不符合安全限制的请求进行过滤,根据请求处理参数配置接口传递的请求处理参数, 对符合安全限制的请求进行请求处理。
4.根据权利要求3所述的用于服务器接口的安全防护系统,其特征在于,所述请求处理包括类型处理、格式处理、参数名处理、参数值处理和回调处理。
CN201710464815.9A 2017-06-19 2017-06-19 一种用于服务器接口的安全防护系统 Active CN107332784B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710464815.9A CN107332784B (zh) 2017-06-19 2017-06-19 一种用于服务器接口的安全防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710464815.9A CN107332784B (zh) 2017-06-19 2017-06-19 一种用于服务器接口的安全防护系统

Publications (2)

Publication Number Publication Date
CN107332784A CN107332784A (zh) 2017-11-07
CN107332784B true CN107332784B (zh) 2020-12-18

Family

ID=60194114

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710464815.9A Active CN107332784B (zh) 2017-06-19 2017-06-19 一种用于服务器接口的安全防护系统

Country Status (1)

Country Link
CN (1) CN107332784B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012019410A1 (zh) * 2010-08-13 2012-02-16 中兴通讯股份有限公司 智能家居内部网络防止非法入侵的方法及装置
CN102868703A (zh) * 2012-09-29 2013-01-09 山东中创软件工程股份有限公司 一种安全控制系统与方法
CN103701709A (zh) * 2013-12-13 2014-04-02 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN103856455A (zh) * 2012-12-04 2014-06-11 中山大学深圳研究院 一种保护计算机网络避免数据洪水攻击的方法及系统
CN106341341A (zh) * 2016-09-05 2017-01-18 广州华多网络科技有限公司 一种请求数据包过滤方法及其系统
CN106713301A (zh) * 2016-12-16 2017-05-24 四川长虹电器股份有限公司 一种面向智能终端的物联网安全防御系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101459660A (zh) * 2007-12-13 2009-06-17 国际商业机器公司 用于集成多个威胁安全服务的方法及其设备

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012019410A1 (zh) * 2010-08-13 2012-02-16 中兴通讯股份有限公司 智能家居内部网络防止非法入侵的方法及装置
CN102868703A (zh) * 2012-09-29 2013-01-09 山东中创软件工程股份有限公司 一种安全控制系统与方法
CN103856455A (zh) * 2012-12-04 2014-06-11 中山大学深圳研究院 一种保护计算机网络避免数据洪水攻击的方法及系统
CN103701709A (zh) * 2013-12-13 2014-04-02 北京京东尚科信息技术有限公司 一种流量控制方法及系统
CN106341341A (zh) * 2016-09-05 2017-01-18 广州华多网络科技有限公司 一种请求数据包过滤方法及其系统
CN106713301A (zh) * 2016-12-16 2017-05-24 四川长虹电器股份有限公司 一种面向智能终端的物联网安全防御系统

Also Published As

Publication number Publication date
CN107332784A (zh) 2017-11-07

Similar Documents

Publication Publication Date Title
EP3211825B1 (en) Trusted terminal verification method and apparatus
CN106997394B (zh) 一种数据乱序到达处理方法和系统
CN110138767B (zh) 事务请求的处理方法、装置、设备和存储介质
CN109951354A (zh) 一种终端设备识别方法、系统及存储介质
CN109743294A (zh) 接口访问控制方法、装置、计算机设备及存储介质
CN109033857A (zh) 一种访问数据的方法、装置、设备及可读存储介质
CN112199412B (zh) 基于区块链的支付账单处理方法和区块链账单处理系统
CN105337739B (zh) 安全登录方法、装置、服务器及终端
CN110795708A (zh) 一种安全认证方法及相关装置
CN110264222A (zh) 基于数据采集的尽职调查方法、装置及终端设备
CN104363112B (zh) 一种参数管理方法及装置
CN105184559B (zh) 一种支付系统及方法
CN113342876B (zh) SaaS环境下多租户CRM系统的数据模糊查询方法及装置
CN107332784B (zh) 一种用于服务器接口的安全防护系统
CN111371811B (zh) 一种资源调用方法、资源调用装置、客户端及业务服务器
CN116302889A (zh) 功能模块的性能测试方法、装置和服务器
CN107018140B (zh) 一种权限控制方法和系统
CN111552949B (zh) 一种物联网设备加密方法、装置及电子设备
CN114399361A (zh) 业务请求的处理方法、装置、计算机设备和存储介质
CN114125845A (zh) 一种基于物联网的智能设备自动连网方法及装置
CN106656986A (zh) 一种生物特征鉴权的方法及装置
CN113032836A (zh) 数据脱敏方法和装置
CN113191762A (zh) 基于配置式金融交易类短信验证码公共组件的实现方法
CN112134856A (zh) 应用程序的禁用方法、系统、服务器及存储介质
CN111683041A (zh) 一种数据库关联访问方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 200083 Shanghai, Hongkou District West Bay Road, building B, No. 8, layer

Applicant after: Shanghai Gaodun Education Technology Co.,Ltd.

Address before: 200083 Shanghai, Hongkou District West Bay Road, building B, No. 8, layer

Applicant before: SHANGHAI GAODUN EDUCATION & TRAINING Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant