CN109587134A - 接口总线的安全认证的方法、装置、设备和介质 - Google Patents
接口总线的安全认证的方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN109587134A CN109587134A CN201811467592.2A CN201811467592A CN109587134A CN 109587134 A CN109587134 A CN 109587134A CN 201811467592 A CN201811467592 A CN 201811467592A CN 109587134 A CN109587134 A CN 109587134A
- Authority
- CN
- China
- Prior art keywords
- interface
- access
- label
- request message
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
Abstract
本申请公开了一种接口总线的安全认证的方法、装置、设备和介质。该方法包括:创建接口标签,并将接口标签记录至标签交换表中;根据访问接口发送的接口连接请求信息以及标签交换表,确定接口连接请求信息中的访问接口的接口标签以及接口连接请求信息中的目的接口的接口标签;基于接口连接请求信息中的访问接口的接口标签以及接口连接请求信息中的目的接口的接口标签,确认接口总线安全。根据本发明的实施例,能够准确对接口总线的进行安全认证。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种接口总线的安全认证的方法、装置、设备和介质。
背景技术
由于各应用系统之间需要进行数据信息交互,所以各应用系统之间存在各种形式的数据互联接口。为保证数据信息在传输过程中,不被监听或泄露,因此需要保证接口的安全。
为确保接口安全,企业内部通常会采用防火墙进行接口访问源互联网协议(Internet Protocol Address,IP)的限制。个别接口数据在传输过程中采用加密处理或者采用传统的用户密码方式进行接口认证。
目前在传输过程中采用的加密处理或者采用传统的用户密码的安全认证方式,用户密码一但被破解,就可能会出现非法调用接口,从而导致敏感数据泄露的风险。
因此,存在无法更加准确有效的实现接口总线的安全认证的技术问题。
发明内容
本发明实施例提供了一种接口总线的安全认证的方法、装置、设备和介质,能够准确对接口总线进行安全认证。
本发明实施例的一方面,提供一种接口总线的安全认证的方法,该方法包括:
创建接口标签,并将接口标签记录至标签交换表中;
根据访问接口发送的接口连接请求信息以及标签交换表,确定接口连接请求信息中的访问接口的接口标签以及接口连接请求信息中的目的接口的接口标签;
基于接口连接请求信息中的访问接口的接口标签以及接口连接请求信息中的目的接口的接口标签,确认接口总线安全。
本发明实施例的另一方面,提供一种接口总线的安全认证的装置,该装置包括:
标签创建模块,用于创建接口标签,并将接口标签记录至标签交换表中;
标签确认模块,用于根据访问接口发送的接口连接请求信息以及标签交换表,确定接口连接请求信息中的访问接口的接口标签以及接口连接请求信息中的目的接口的接口标签;
安全认证模块,用于基于接口连接请求信息中的访问接口的接口标签以及接口连接请求信息中的目的接口的接口标签,确认接口总线安全。
根据本发明实施例的另一方面,提供一种接口总线的安全认证的设备,该设备包括:
处理器以及存储有计算机程序指令的存储器;
处理器执行计算机程序指令时实现如上述本发明实施例的任意一方面提供的接口总线的安全认证的方法。
根据本发明实施例的另一方面,提供一种计算机存储介质,计算机存储介质上存储有计算机程序指令,计算机程序指令被处理器执行时实现如上述本发明实施例的任意一方面提供的接口总线的安全认证的方法。
本发明实施例提供的接口总线的安全认证的方法、装置、设备和介质。通过为每个具有合法身份的接口创建接口标签,可以隐藏接口的实际地址信息,使得访问接口不会得到真实的目的地址信息。并且,通过接口标签对接口进行鉴权,可以实现仅通过接口标签就可以将访问接口与目的接口建立访问连接,进而可以保护接口总线的安全。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单地介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本发明一实施例的接口总线的安全认证的方法的流程图;
图2示出本发明另一实施例的接口总线的安全认证的方法的流程图;
图3示出本发明又一实施例的接口总线的安全认证的方法的流程图;
图4示出本发明一实施例的接口总线的安全认证的装置的结构示意图;
图5示出本发明另一实施例的接口总线的安全认证的装置示意图;
图6示出本发明又一实施例的接口总线的审计管理的装置示意图;
图7示出了能够实现根据本发明实施例的接口总线的安全认证的方法和装置的计算设备的示例性硬件架构的结构图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
下面结合附图,详细描述根据本发明实施例的接口总线的安全认证的方法、装置、设备和介质。应注意,这些实施例并不是用来限制本发明公开的范围。
下面通过图1至图3详细介绍根据本发明实施例的接口总线的安全认证的方法。
在本发明的一个实施例中,如图1所示,图1是示出本发明一实施例的接口总线的安全认证的方法的流程图。
如图1所示,本发明实施例中接口总线的安全认证的方法100包括以下步骤:
S110,创建接口标签,并将接口标签记录至标签交换表中。
在本发明的一个实施例中,首先需要确认接口具有合法身份信息。其中,合法身份信息可以是指接口的互联网协议(Internet Protocol Address,IP)地址合法。
其次,为具有合法身份信息的接口创建接口标签,其中,接口标签可以包括接口类型位信息和接口标示位信息。通过接口类型位信息能够识别接口的协议类型,通过接口标示位信息能够识别接口的端点身份是服务端还是客户端。
最后,将接口标签记录至标签交换表中。其中,标签交换表中还可以包括接口标签寻址信息,接口标签寻址信息具体是指每个接口标签对应的实际地址信息。
在本发明实施例中,通过为每个具有合法身份的接口创建接口标签,可以隐藏接口的实际地址信息,使得访问接口不会得到真实的目的地址信息,仅通过接口标签就可以将访问接口与目的接口建立访问连接,进而可以保护接口总线的安全。
S120,根据访问接口发送的接口连接请求信息以及标签交换表,确定接口连接请求信息中的访问接口标签以及接口连接请求信息中的目的接口标签。
在本发明的一个实施例中,当访问接口发送接口连接请求信息时,可以在标签交换表中确定接口连接请求信息中的访问接口标签以及目的接口标签。
在本发明实施例中,通过标签交换表确认访问接口标签以及目的接口标签,使得在访问请求过程中接口标签成为接口身份的唯一标识。从而可以通过隐藏接口的实际地址信息,保护接口总线安全。
S130,基于接口连接请求信息中的访问接口标签以及接口连接请求信息中的目的接口标签,确认接口总线安全。
在本发明的一个实施例中,可以通过接口标签中的接口类型位信息和接口标示位信息匹配,来确认接口总线安全。具体的,可以通过访问接口的接口类型位信息,可以得到访问接口的协议类型,通过访问接口的接口标示位信息,可以得到访问接口的端点身份是客户端还是服务端。类似的,同样可以得到目的接口的协议类型以及目的接口的端点身份。当协议类型和端点身份匹配时,确认接口总线安全。
在本发明的另一个实施例中,可以通过接口标签中的接口标示位信息,得到接口的端点身份,进而确认接口的身份信息。例如,可以确认访问接口的IP地址为合法身份信息以及目的接口的IP地址为合法身份信息。基于访问接口的身份信息为合法身份信息以及目的接口的身份信息为合法身份信息,确认接口总线安全。
在本发明实施例中,基于接口标签对访问接口以及目的接口进行鉴权,可以多方面对接口进行安全认证,进而保证接口总线安全。
在本发明的又一实施例中,还可以确认接口连接请求符合预设请求规定。预设请求规定可以是接口连接请求信息中的请求连接时间在预设访问时间范围内、访问接口的身份信息在预设允许访问身份信息内和访问接口具有访问目的接口的访问权限。
具体的,可以基于人员的控制对接口的访问权限进行设定,例如可以基于申请者的工作内容对接口进行访问权限的设定,当申请者访问与其工作内容无关的接口时,就会由于访问接口的身份信息不在预设允许访问身份信息内,而造成访问请求失败,即认为当前的访问接口不符合接口总线的安全认证。
同样,也可以基于访问时间对接口进行访问权限的限定。当访问接口在非预设访问时间范围内发起访问请求时,同样会认为当前的访问接口不符合接口总线的安全认证。
在本发明实施例中,通过确认接口连接请求信息中是否符合预设规定,可以对接口的访问进行系统化管理。可以有效防止接口在非允许访问时间发起访问以及有效防止访问接口对不具有访问权限的目的接口进行访问,进而确认接口总线的安全。
通过上述实施例所述的接口总线的安全认证的方法,通过为每个具有合法身份的接口创建接口标签,可以隐藏接口的实际地址信息,使得访问接口不会得到真实的目的地址信息。并且,通过接口标签对接口进行鉴权,可以实现仅通过接口标签就可以将访问接口与目的接口建立访问连接,进而可以保护接口总线的安全。
在本发明的又一实施例中,接口总线的安全认证的方法100还包括:
S140,对接口连接请求信息进行接口内容审计。
具体的,接口内容审计是对接口的双方的连接行为以及双方报文投递行为进行记录,并能够将转发的接口报文进行镜像备份,以支持接口内容的审计分析。
在本发明的一个实施例中,可以根据镜像流量中识别出的接口超文本传输协议(HyperText Transfer Protocol,HTTP)流量信息,得到协议信息,例如请求方法、请求统一资源定位符(Uniform Resource Locator,URL)、重要的请求头域,例如储存在用户本地终端上的数据(Cookie)、Host、请求来源(Referer)、用户代理(User-Agent,UA)、请求消息体(POST数据)和响应状态码、重要的响应头域,例如内容类型(Content-Type)和响应消息体。
具体的,可以通过解析HTTP流量信息,得到HTTP报文头信息、HTTP报文体消息、URL地址、会话ID、时间、源IP地址、目的IP地址、目的端口和报文大小。
接下来,基于得到的协议信息,以及预先配置的接口特征规则进行接口操作映射,得到与接口相关的业务操作信息。
最后,根据访问数据中的会话身份标识号(ID)将上行审计日志和下行审计日志为合为一条完整的答应日志,经过接口日志补全后将完整的接口操作信息记入接口操作日志库,从而完成接口内容审计。具体的,接口日志补全可以是补全用户信息以及补全业务系统信息。其中,用户信息可以为申请者姓名、组织和联系方式。业务系统信息可以为业务系统名称、业务厂商、业务模块和业务描述。
在本发明实施例中,通过对接口内容进行审计,可以识别出接口的异常情况,例如,接口数据调用存在的异常、未注册接口稽核和未使用接口稽核。应当理解的是,稽核是指稽查和审核。从而实现时刻检测接口的访问请求。
如图2所示,图2是示出本发明另一实施例的接口总线的安全认证的方法的流程图。本发明实施例中的接口总线的安全认证的方法200包括以下步骤:
S210,提出接口连接申请。
S220,判断身份是否合法。
当判断结果为否时,跳转至S250,当判断结果为是时,执行S230。
S230,判断身份是否匹配。
当判断结果为否时,跳转至S250,当判断结果为是时,执行S240。
S240,判断连接是否被管理员许可。
当判断结果为否时,跳转至S250,当判断结果为是时,执行S260。
S250,鉴权失败,拒绝连接请求。
S260,创建接口标签寻址信息。
作为一个具体的示例,当访问接口发出接口连接申请时,首先会判断访问接口的身份信息是否合法,对于具有合法身份的访问接口会继续判断身份是否匹配,即判断访问接口的接口类型位信息与访问接口的端点身份是否匹配以及判断目的接口的接口类型位信息与目的接口的端点身份是否匹配。对于身份信息不合法的访问接口,会显示鉴权失败并拒绝连接申请。
对于身份匹配的访问接口以及目的接口,会继续判断该访问接口的连接申请是否被管理员许可。当判断结果为不被管理员许可时,会显示鉴权失败并拒绝连接申请。当判断结果为被管理员许可时,会创建接口标签寻址信息,即得到访问接口与目的接口的实际地址信息。
对于身份不匹配的访问接口以及目的接口,会显示鉴权失败并拒绝连接申请。
在本发明实施例中,通过对接口的身份信息以及连接申请进行鉴权,对鉴权通过的访问接口以及目的接口建立访问连接关系,进而可以保护接口总线的安全。
图3示出了本发明又一实施例的接口总线的安全认证的方法的流程图。图3与图1相同的步骤使用相同的编号。
如图3所示,接口总线的安全认证的方法300和图1所示的接口总线的安全认证的方法300相同的步骤,在此不再赘述。本发明实施例中的接口总线的安全认证的方法300还包括以下步骤:
S310,基于标签交换表中接口标签对应的地址信息,得到目的接口的实际地址信息以及访问接口的实际地址信息。
在本发明的一个实施例中,可以根据标签交换表中接口标签对应的实际地址信息,得到目的接口的实际地址信息以及访问接口的实际地址信息。
S320,基于目的接口的实际地址信息,向目的接口发送访问接口的访问数据。
在本发明的一个实施例中,可以是将访问接口的访问数据通过动态密钥进行加密处理。接下来,基于访问接口的实际地址信息,将加密处理后的访问数据以密文的形式发送至目的接口。应当理解的是,密文是加密后的数据信息。
S330,基于访问接口的实际地址信息,向访问接口发送目的接口的反馈数据。
具体的,目的接口会对接收到加密处理后的访问数据进行解密处理,基于解密后的访问数据生成对应的反馈数据,并对反馈数据进行加密处理。
在本发明的一个实施例中,将经过加密处理的目的接口的反馈数据进行解密处理,基于访问接口的实际地址信息,将解密处理后的反馈数据以明文的形式发送至访问接口。应当理解的是,明文是没有加密的数据信息。
在本发明的一个实施例中,还可以根据标签交换表中接口标签对应的实际地址信息,得到目的接口的实际地址信息以及访问接口的实际地址信息。根据目的接口的实际地址信息,将访问接口发送的访问数据发送给目的接口,接下来,再根据访问接口的实际地址信息,将目的接口的反馈数据发送给访问接口。进而建立访问接口与目的接口的访问连接关系。
在本发明实施例中,只有通过接口总线安全认证的接口,才会通过标签交换表得到接口标签对应的实际地址信息,建立访问接口与目的接口的访问连接关系,可以有效保证接口的访问连接的安全以及接口在访问连接过程中的数据信息安全。
下面通过图4详细介绍根据本发明实施例的接口总线的安全认证的装置,接口总线的安全认证的装置与接口总线的安全认证的方法相对应。
图4示出了本发明一实施例的接口总线的安全认证的装置的结构示意图。
如图4所示,接口总线的安全认证的装置400包括:
标签创建模块410,用于创建接口标签,并将接口标签记录至标签交换表中。
标签确认模块420,用于根据访问接口发送的接口连接请求信息以及标签交换表,确定接口连接请求信息中的访问接口的接口标签以及接口连接请求信息中的目的接口的接口标签。
安全认证模块430,用于基于接口连接请求信息中的访问接口的接口标签以及接口连接请求信息中的目的接口的接口标签,确认接口总线安全。
通过本发明实施例中的标签创建模块410为每个具有合法身份的接口创建接口标签,可以隐藏接口的实际地址信息,使得访问接口不会得到真实的目的地址信息。标签确认模块420以及安全认证模块430对接口进行鉴权,可以实现仅通过接口标签就可以将访问接口与目的接口建立访问连接,进而可以保护接口总线的安全。
在本发明的一个实施例中,标签创建模块410具体还用于,确认具有合法身份信息的接口,并为具有合法身份信息的接口创建接口标签。其中,接口标签包括:接口类型位信息和接口标示位信息。
本发明的一个实施例中,安全认证模块430具体还用于,确认接口标签中的接口类型位信息和接口标签中的接口标示位信息匹配和/或确认访问接口的身份信息为合法身份信息以及目的接口的身份信息为合法身份信息。
本发明的一个实施例中,安全认证模块430具体还用于,确认接口连接请求信息符合预设请求规定,预设请求规定至少包括以下一种:
接口连接请求信息中的请求连接时间在预设访问时间范围内、访问接口的身份信息在预设允许访问身份信息内和访问接口具有访问目的接口的访问权限。
在本发明的另一个实施例中,接口总线的安全认证的装置400还包括:
地址信息模块440,用于基于标签交换表中接口标签对应的地址信息,得到目的接口的实际地址信息以及访问接口的实际地址信息。
数据发送模块450,用于基于目的接口的实际地址信息,向目的接口发送访问接口的访问数据,以及基于访问接口的实际地址信息,向访问接口发送目的接口的反馈数据。
审计模块460,用于对接口连接请求信息进行接口内容审计。
在本发明的一个实施例中,数据发送模块450具体用于将访问接口的访问数据通过密钥进行加密处理。基于访问接口的实际地址信息,将加密处理后的访问数据发送至目的接口。对经过加密处理的目的接口的反馈数据进行解密处理。基于访问接口的实际地址信息,将解密处理后的反馈数据发送至访问接口
在本发明的另一个实施例中,如图5所示,图5示出了本发明的另一个实施例的接口总线的安全认证的装置,该接口总线的安全认证的装置用于实现接口总线的安全认证的方法。
本发明的另一个实施例中,如图5所示,接口总线的安全认证的装置可以为反向代理服务器。其中,反向代理服务器能够将地址信息进行伪装与隐藏,使得访问请求不再知道真实的访问地址,而是必须通过反向代理完成访问。应当注意的是,反向代理服务把目标接口服务进行静态端口映射,一个端口唯一映射一个服务端口,一台反向代理服可映射65535端口,即可接管65535个接口服务器。
反向代理服务器可以包括内核模块、基础服务模块以及扩展服务模块。
内核模块,用于在IP层接收数据、向IP层发送数据、接收基础服务模块发送的数据、向基础服务模块发送数据以及对访问数据进行校验。
基础服务模块,用于和内核模块进行通信,接收内核模块发送的数据以及向内核模块发送数据,还用于提供访问数据包路由功能,即提供针对访问数据包被扩展服务模块拆包组包等各种场景的适配。
扩展服务模块,用于和基础服务模块进行通信,接收基础服务模块发送的数据以及向基础服务模块发送数据。还用于完成HTTP协议的解析以及记录审计日志。
作为一个具体的示例,详细介绍通过反向代理服务器来实现本发明实施例中接口总线的安全认证的方法的具体调用过程。
首先,申请者会向反向代理服务发起HTTP请求,反向代理服务在IP层截取访问数据包,完成了对网络路由分片包的重组,从而确保递交到基础服务的访问数据包的完整性。其中,内核模块会对截取到的访问数据包做初步的过滤。过滤规则可以是非传输控制协议(Transmission Control Protocol,TCP)包一律吞噬和访问禁用接口的访问数据包一律吞噬。
接下来,内核模块通过套接字(netlink)将过滤后的访问数据包发送给基础服务模块的netlink接收线程。其中,内核模块和基础服务模块使用netlink协议通信,netlink是一种特殊的计算机专用术语,它是一种在内核模块与用户间进行双向数据传输的一种方式。用户态应用使用标准的应用程序编程接口(Application Programming Interface,API)就可以使用netlink提供的强大功能。应当注意的是,内核模块需要使用专门的内核模块API来使用netlink。
netlink接收线程一点接收并直接向前置skb处理线程发送任务。skb处理线程可以校验访问接口的访问合法性、隧道的可用性等信息并为合法的访问创建通道信息,同时修改当前访问数据包的目的端IP。当得到接口标签对应的实际访问地址信息后,基础服务模块通过thrift发送线程将访问数据包发送给特定的扩展服务模块处理。
扩展服务模块用于具体实现访问数据的鉴权。例如,可以通过接口标签中的接口类型位信息和接口标示位信息匹配,来确认接口总线安全。还可以确认访问接口的IP地址为合法身份信息以及目的接口的IP地址为合法身份信息。
当扩展服务模块完成访问数据包的管控等任务后,将访问数据包回传给基础服务的thrift接收线程,同时由thrift接收线程将访问数据包直接转发给后置SKB处理线程。后置SKB处理线程将IP包中的源IP改为SIP服务器的IP,源端口根据正、逆向数据包类型分别修改为通道或隧道端口,并修正数据包中的TCP头、IP头中其他信息后向netlink发送线程发送任务。netlink发送线程直接通过netlink消息通讯机制向内核模块提交访问数据包,最终访问数据包通过内核模块发送给指定的目的接口,接口服务完成业务处理后下发反馈数据报即HTTP应答包,给反向代理服务,修改其IP/TCP信息后转发给访问接口。
在本发明的又一个实施例中,如图6所示,图6是示出本发明又一实施例的接口总线的审计管理的装置示意图。审计管理的装置600包括:
接口流量镜像采集模块610,用于通过反向代理方式镜像备份接口流量,使接口安全管控平台能够监听到所有申请者通过反向代理与接口服务进行通讯的所有操作,包括上行日志和下行日志,并根据预先配置的接口特征规则进行接口操作映射得到与接口相关的业务操作信息,去掉无关流量。
接口日志补全模块620,用于补全用户信息。其中用户信息可以包括申请者姓名、组织以及联系方式。也可以用于补全业务系统,其中可以是补全业务系统名称、补全业务厂商、补全业务模块以及补全业务描述。
流量协议解析模块630,用于对HTTP协议进行解析,主要解析出HTTP报文头信息、HTTP报文体消息、URL地址、会话ID、时间、源IP地址、目的IP地址、目的端口以及报文大小。
协议解析信息存储模块640,用于将解析后的日志进行标准化处理,然后存储在数据库中。
接口内容审计模块650,用于对接口内的敏感信息进行审计。敏感信息可以是用户的ID。
接口连接审计模块660,用于对接口的连接以及目的接口进行审计。
接口异常检测报警模块670,用于基于六何分析法(5W1H)模型中的属性(例如:接口注册信息、流量日志信息)、自定义的模型元素和异构事件进行分析规则配置,通过组合判断多个异构事件判断操作行为性质,发掘隐藏的相关性,发现数据接口调用行为。关联分析关注稽核客体和接口操作,以What和How为主要关联对象,发现接口数据调用存在的异常、违规行为,如接口被调用次数统计、未注册接口稽核、未使用接口稽核。
接口审计报告模块680,用于在统计报告以及取证报告中查看宏观的审计数据统计信息,并可逐步下探到具体的审计事件。
图7示出了能够实现根据本发明实施例的接口总线的安全认证的方法和装置的计算设备的示例性硬件架构的结构图。
如图7所示,计算设备700包括输入设备701、输入接口702、中央处理器703、存储器704、输出接口705、以及输出设备706。其中,输入接口702、中央处理器703、存储器704、以及输出接口705通过总线710相互连接,输入设备701和输出设备706分别通过输入接口702和输出接口705与总线710连接,进而与计算设备700的其他组件连接。
具体地,输入设备701接收来自外部的输入信息,并通过输入接口702将输入信息传送到中央处理器703;中央处理器703基于存储器704中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器704中,然后通过输出接口705将输出信息传送到输出设备706;输出设备706将输出信息输出到计算设备700的外部供用户使用。
也就是说,图7所示的计算设备也可以被实现接口总线的安全认证的设备,该接口总线的安全认证的设备可以包括:存储有计算机可执行指令的存储器;以及处理器,该处理器在执行计算机可执行指令时可以实现结合图1至图6描述的接口总线的安全认证的方法和装置。
本发明实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现本发明实施例提供的接口总线的安全认证。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
本发明可以以其他的具体形式实现,而不脱离其精神和本质特征。例如,特定实施例中所描述的算法可以被修改,而设备体系结构并不脱离本发明的基本精神。因此,当前的实施例在所有方面都被看作是示例性的而非限定性的,本发明的范围由所附权利要求而非上述描述定义,并且,落入权利要求的含义和等同物的范围内的全部改变从而都被包括在本发明的范围之中。
Claims (12)
1.一种接口总线的安全认证的方法,其特征在于,包括:
创建接口标签,并将所述接口标签记录至标签交换表中;
根据访问接口发送的接口连接请求信息以及所述标签交换表,确定所述接口连接请求信息中的访问接口的接口标签以及所述接口连接请求信息中的目的接口的接口标签;
基于所述接口连接请求信息中的访问接口的接口标签以及所述接口连接请求信息中的目的接口的接口标签,确认接口总线安全。
2.根据权利要求1所述接口总线的安全认证的方法,其特征在于,所述创建接口标签,包括:
确认具有合法身份信息的接口,并为所述具有合法身份信息的接口创建所述接口标签。
3.根据权利要求1所述接口总线的安全认证的方法,其特征在于,所述接口标签包括:接口类型位信息和接口标示位信息。
4.根据权利要求3所述接口总线的安全认证的方法,其特征在于,所述基于所述接口连接请求信息中的访问接口标签以及所述接口连接请求信息中的目的接口标签,确认接口总线安全,包括:
确认所述接口标签中的接口类型位信息和所述接口标签中的接口标示位信息匹配和/或确认所述访问接口的身份信息为合法身份信息以及所述目的接口的身份信息为合法身份信息。
5.根据权利要求4所述接口总线的安全认证的方法,其特征在于,所述基于所述接口连接请求信息中的访问接口的接口标签以及所述接口连接请求信息中的目的接口的接口标签,确认接口总线安全,还包括:
确认所述接口连接请求信息符合预设请求规定,所述预设请求规定至少包括以下一种:
所述接口连接请求信息中的请求连接时间在预设访问时间范围内、所述访问接口的身份信息在预设允许访问身份信息内和所述访问接口具有访问目的接口的访问权限。
6.根据权利要求1所述接口总线的安全认证的方法,其特征在于,所述确认接口总线安全之后,还包括:
基于所述标签交换表中接口标签对应的地址信息,得到目的接口的实际地址信息以及所述访问接口的实际地址信息;
基于所述目的接口的实际地址信息,向所述目的接口发送所述访问接口的访问数据;
基于所述访问接口的实际地址信息,向所述访问接口发送所述目的接口的反馈数据。
7.根据权利要求6所述接口总线的安全认证的方法,其特征在于,所述基于所述目的接口的实际地址信息,向所述目的接口发送所述访问接口的访问数据,包括:
将所述访问接口的访问数据通过密钥进行加密处理;
基于所述访问接口的实际地址信息,将所述加密处理后的访问数据发送至所述目的接口。
8.根据权利要求6所述接口总线的安全认证的方法,其特征在于,所述基于所述访问接口的实际地址信息,向所述访问接口发送所述目的接口的反馈数据,包括:
对经过所述加密处理的所述目的接口的反馈数据进行解密处理;
基于所述访问接口的实际地址信息,将所述解密处理后的反馈数据发送至所述访问接口。
9.根据权利要求1所述接口总线的安全认证的方法,其特征在于,还包括:
对所述接口连接请求信息进行接口内容审计。
10.一种接口总线的安全认证的装置,其特征在于,包括:
标签创建模块,用于创建接口标签,并将所述接口标签记录至标签交换表中;
标签确认模块,用于根据访问接口发送的接口连接请求信息以及所述标签交换表,确定所述接口连接请求信息中的访问接口的接口标签以及所述接口连接请求信息中的目的接口的接口标签;
安全认证模块,用于基于所述接口连接请求信息中的访问接口的接口标签以及所述接口连接请求信息中的目的接口的接口标签,确认接口总线安全。
11.一种接口总线的安全认证的设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-9任意一项所述接口总线的安全认证的方法。
12.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-9任意一项所述接口总线的安全认证的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811467592.2A CN109587134B (zh) | 2018-12-03 | 2018-12-03 | 接口总线的安全认证的方法、装置、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811467592.2A CN109587134B (zh) | 2018-12-03 | 2018-12-03 | 接口总线的安全认证的方法、装置、设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109587134A true CN109587134A (zh) | 2019-04-05 |
| CN109587134B CN109587134B (zh) | 2021-11-23 |
Family
ID=65927040
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811467592.2A Active CN109587134B (zh) | 2018-12-03 | 2018-12-03 | 接口总线的安全认证的方法、装置、设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109587134B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110727475A (zh) * | 2019-10-12 | 2020-01-24 | 四川新网银行股份有限公司 | 基于配置化智能服务调用方法 |
| CN113608900A (zh) * | 2021-10-08 | 2021-11-05 | 成都数之联科技有限公司 | 一种算法模型的调用方法、装置、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050149753A1 (en) * | 2003-12-30 | 2005-07-07 | Cromer Daryl C. | Apparatus, system, and method for validating interface addresses |
| CN1901538A (zh) * | 2005-07-20 | 2007-01-24 | 中国移动通信集团公司 | 一种基于wap/mms业务的多接口多协议测试方法 |
| CN103166794A (zh) * | 2013-02-22 | 2013-06-19 | 中国人民解放军91655部队 | 一种具有一体化安全管控功能的信息安全管理方法 |
| CN105897783A (zh) * | 2016-07-01 | 2016-08-24 | 中国联合网络通信有限公司重庆市分公司 | 一种可控可管的敏感数据交换技术实现方法 |
| US20170230544A1 (en) * | 2014-06-24 | 2017-08-10 | Ec Data Systems Inc. | Audit logging for a secure, scalable and flexible internet fax architecture |
| CN107196936A (zh) * | 2017-05-19 | 2017-09-22 | 广东万丈金数信息技术股份有限公司 | 接口转发方法、系统、计算机设备和存储介质 |
| CN107659618A (zh) * | 2017-09-03 | 2018-02-02 | 中国南方电网有限责任公司 | 一种云审计系统 |
-
2018
- 2018-12-03 CN CN201811467592.2A patent/CN109587134B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050149753A1 (en) * | 2003-12-30 | 2005-07-07 | Cromer Daryl C. | Apparatus, system, and method for validating interface addresses |
| CN1901538A (zh) * | 2005-07-20 | 2007-01-24 | 中国移动通信集团公司 | 一种基于wap/mms业务的多接口多协议测试方法 |
| CN103166794A (zh) * | 2013-02-22 | 2013-06-19 | 中国人民解放军91655部队 | 一种具有一体化安全管控功能的信息安全管理方法 |
| US20170230544A1 (en) * | 2014-06-24 | 2017-08-10 | Ec Data Systems Inc. | Audit logging for a secure, scalable and flexible internet fax architecture |
| CN105897783A (zh) * | 2016-07-01 | 2016-08-24 | 中国联合网络通信有限公司重庆市分公司 | 一种可控可管的敏感数据交换技术实现方法 |
| CN107196936A (zh) * | 2017-05-19 | 2017-09-22 | 广东万丈金数信息技术股份有限公司 | 接口转发方法、系统、计算机设备和存储介质 |
| CN107659618A (zh) * | 2017-09-03 | 2018-02-02 | 中国南方电网有限责任公司 | 一种云审计系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110727475A (zh) * | 2019-10-12 | 2020-01-24 | 四川新网银行股份有限公司 | 基于配置化智能服务调用方法 |
| CN110727475B (zh) * | 2019-10-12 | 2023-07-21 | 四川新网银行股份有限公司 | 基于配置化智能服务调用方法 |
| CN113608900A (zh) * | 2021-10-08 | 2021-11-05 | 成都数之联科技有限公司 | 一种算法模型的调用方法、装置、设备及介质 |
| CN113608900B (zh) * | 2021-10-08 | 2021-12-10 | 成都数之联科技有限公司 | 一种算法模型的调用方法、装置、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109587134B (zh) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101155074B (zh) | 通信日志管理系统 | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| US8443190B2 (en) | Method for securing a two-way communications channel and device for implementing said method | |
| CN106034104B (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| US8220032B2 (en) | Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith | |
| US10021101B2 (en) | Embedding security posture in network traffic | |
| CN107493280A (zh) | 用户认证的方法、智能网关及认证服务器 | |
| JP2020516202A (ja) | コアネットワークアクセスプロバイダ | |
| CN201194396Y (zh) | 基于透明代理网关的安全网关平台 | |
| CN107113319A (zh) | 一种虚拟网络计算认证中应答的方法、装置、系统和代理服务器 | |
| US7103659B2 (en) | System and method for monitoring information in a network environment | |
| US10341286B2 (en) | Methods and systems for updating domain name service (DNS) resource records | |
| US8014406B2 (en) | System and method of inserting a node into a virtual ring | |
| CN108429820A (zh) | 一种物联网应用层的通信方法、系统及终端设备 | |
| CN105722072A (zh) | 一种业务授权方法、装置、系统及路由器 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN106789987B (zh) | 移动终端单点登录多业务互联app的方法及系统 | |
| CN109587134A (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN105162763A (zh) | 通讯数据的处理方法和装置 | |
| CN108462671A (zh) | 一种基于反向代理的认证保护方法及系统 | |
| CN107888615B (zh) | 一种节点注册的安全认证方法 | |
| KR101522139B1 (ko) | DNS 서버 선별 차단 및 Proxy를 이용한 DNS 주소 변경 방법 | |
| CN110892695A (zh) | 在建立连接期间检查受密码保护的通信连接的连接参数的方法、设备和计算机程序产品 | |
| CN101938428B (zh) | 一种报文的传输方法和设备 | |
| CN108123917A (zh) | 一种物联网终端的认证凭证更新的方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |