CN109600377A - 防越权方法、装置、计算机设备及存储介质 - Google Patents
防越权方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN109600377A CN109600377A CN201811526492.2A CN201811526492A CN109600377A CN 109600377 A CN109600377 A CN 109600377A CN 201811526492 A CN201811526492 A CN 201811526492A CN 109600377 A CN109600377 A CN 109600377A
- Authority
- CN
- China
- Prior art keywords
- field
- access request
- commission
- beyond
- intelligent terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及安全防护领域,公开了一种防越权方法、装置、计算机设备及存储介质,其方法包括:用于从第一接口接收智能终端发送的第一访问请求;在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则;若所述第一访问请求满足预设校验规则,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。本发明通过设置越权拦截开关,可灵活地切换校验流程,当遭遇越权攻击时,启用越权拦截开关,可以快速屏蔽越权攻击的访问,在不需要重启服务器的情况下,便可快速修复越权问题;同时在越权拦截过程中,采用字段校验方式,加密手段隐秘,安全性强,难以被破解和模拟,保证校验结果的可靠性。
Description
技术领域
本发明涉及安全防护领域,尤其涉及一种防越权方法、装置、计算机设备及存储介质。
背景技术
越权(Privilege Escalation)是指攻击者能够执行一些超越其权限的操作,属于“访问控制”的问题。遭遇越权攻击是一个非常严重的安全问题。在遭遇越权攻击时,需要修改代码,重启服务器,从发现到修复需要花费较长时间。若存在多处越权漏洞,则需要更长的修复时间。
因此,需要一种能快速解决越权问题的方法,以减少因越权问题而造成的损失。
发明内容
基于此,有必要针对上述技术问题,提供一种防越权方法、装置、计算机设备及存储介质,以解决当前修复越权问题需要花费较长时间的问题。
一种防越权方法,包括:
从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括第一字段和第二字段,所述第一字段与所述第二字段用于校验所述第一访问请求是否被越权攻击;
在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验到所述第二字段与所述第一字段匹配;
若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
一种防越权装置,包括:
第一请求模块,用于从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括第一字段和第二字段,所述第一字段与所述第二字段用于校验所述第一访问请求是否被越权攻击;
字段检验模块,用于在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验到所述第二字段与所述第一字段匹配;
第一发送模块,用于若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述防越权方法。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述防越权方法。
上述防越权方法、装置、计算机设备及存储介质,从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括所述第二字段和所述第一字段,所述第一字段为基于所述第二字段的加密数据,服务端通过不同的接口接收不同的访问请求,在不同的接口设置不同的处理规则,以便于对专门的接口接收的访问请求进行管理。在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验到所述第二字段与所述第一字段匹配,以检验第一访问请求的合法性,防止越权访问。若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端,以保证具有权限的访问请求能够获取到对应的数据信息。本发明通过设置越权拦截开关,可灵活地切换校验流程,当遭遇越权攻击时,启用越权拦截开关,可以快速屏蔽越权攻击的访问,在不需要重启服务器的情况下,便可快速修复越权问题;同时在越权拦截过程中,采用字段校验方式,加密手段隐秘,安全性强,难以被破解和模拟,保证校验结果的可靠性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例中防越权方法的一应用环境示意图;
图2是本发明一实施例中防越权方法的一流程示意图;
图3是本发明一实施例中防越权方法的一流程示意图;
图4是本发明一实施例中防越权方法的一流程示意图;
图5是本发明一实施例中防越权方法的一流程示意图;
图6是本发明一实施例中防越权方法的一流程示意图;
图7是本发明一实施例中防越权方法的一流程示意图;
图8是本发明一实施例中防越权方法的一流程示意图;
图9是本发明一实施例中防越权装置的一结构示意图;
图10是本发明一实施例中计算机设备的一示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供的防越权方法,可应用在如图1的应用环境中,其中,智能终端通过网络与服务端进行通信。其中,智能终端包括但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。服务端可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一实施例中,如图2所示,提供一种防越权方法,以该方法应用在图1中的服务端为例进行说明,包括如下步骤:
S10、从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括第一字段和第二字段,所述第一字段为基于所述第二字段的加密数据。
本实施例中,服务端可以设置有多个接口,每个接口接收一种类型的访问请求。例如查询接口,用于接收智能终端发送的查询请求;信息修改接口,用于接收智能终端发送的修改信息请求。值得注意的是,在后文中接口、访问请求前的序号仅起到标识作用,没有指示接口的时序或重要性。具体的,智能终端通过第一接口可以访问包含私密信息的内容,例如,在购物系统中,智能终端通过第一接口可以查看个人的订单信息,或者修改个人的订单信息。在此一情形下,在智能终端上需要有购物系统的登录账户。
第一访问请求可以基于所述智能终端上的网页或应用端而产生。第一访问请求包括第一字段和第二字段。第一字段为基于所述第二字段的加密数据。第一字段可以是直接对第二字段加密获得后的加密数据,也可以按一定规则对第二字段进行处理,并对处理后的数据进行加密而获得。
S20、在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验所述第二字段与所述第一字段匹配。
本实施例中,越权拦截开关用于决定对访问第一接口的第一访问请求是否进行防越权检校,开启时,则对访问第一接口的第一访问请求进行防越权检校;关闭时,则不进行防越权检校。越权拦截开关可由系统管理员决定开启或关闭,在开启时,会消耗较多的服务端计算资源,但可以有效阻止越权攻击;而在服务端没有遭受越权攻击时,可以关闭越权拦截开关,以减少服务端计算资源的消耗。
智能终端可根据第一接口的链接向第一接口发送第一访问请求。对第一字段进行解密获得的数据若与第二字段相同,则访问请求满足预设校验规则。例如,第一访问请求中的第二字段可以是第二访问请求获取的订单号,而第一字段则可以是基于订单号而生成订单号加密信息;服务端对该订单号加密信息进行解密,则得到相应的订单号;解密后的订单号与第一访问请求中的订单号相同,则说明这个访问请求是满足预设校验规则的。
在另一种情况下,越权攻击者非法取得第一接口的链接,并尝试通过第一接口对用户的数据进行修改,然而其发送的第一访问请求不包含第二字段和第一字段,或者第二字段和第一字段不匹配,导致其访问请求被服务端拦截,无法进行下一步操作,越权攻击失败。
S30、若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
本实施例中,若第一访问请求满足预设校验规则,则说明第一访问请求是合法的,服务端向智能终端传送第一访问请求所请求的数据信息。在此处,与第一访问请求对应的数据信息即为第一访问请求所请求的数据信息。例如,第一访问请求为请求修改订单的请求,由于第一访问请求携带有第二字段和第一字段,且第二字段与第一字段匹配,所以服务端向智能终端传送的数据信息为修改订单的页面信息。其中,第一访问请求所请求的数据信息即为修改订单的页面信息。
步骤S10-S30中,从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括第一字段和第二字段,所述第一字段与所述第二字段用于校验所述第一访问请求是否被越权攻击,服务端通过不同的接口接收不同的访问请求,在不同的接口设置不同的处理规则,以便于对专门的接口接收的访问请求进行管理。在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验到所述第二字段与所述第一字段匹配,以检验第一访问请求的合法性,防止越权访问。若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端,以保证具有权限的访问请求能够获取到对应的数据信息。
可选的,如图3所示,所述从第一接口接收智能终端发送的第一访问请求之前,还包括:
S101、从第二接口接收所述智能终端发送的第二访问请求,所述第二接口用于向智能终端提供访问第一接口的链接、第一字段和第二字段;
S102、在越权拦截开关开启时,根据所述第二访问请求确定所述第二字段,以及用于接收智能终端发送所述第一访问请求的所述第一接口的链接;
S103、对所述第二字段进行加密,生成第一字段;
S104、向所述智能终端发送第二字段、第一字段及所述第一接口的链接,以供所述智能终端通过所述第一接口发送包含所述第一字段和所述第二字段的第一访问请求。
本实施例中,第二接口可以是服务端的前置校验接口,用于接收智能终端发送的第二访问请求。在接收到第二访问请求后,根据第二访问请求确定第二字段。第二字段可以是第二访问请求的请求结果,如第二访问请求为订单请求,第二字段为根据订单请求查询到的订单号。第二字段还可以是与智能终端绑定的手机号、用户编号、身份证等。
在确定第二字段之后,服务端对第二字段进行加密,生成第一字段,然后将第二字段、第一字段及第一接口的链接发送给智能终端。此处第一接口的链接指的是跳转到第一接口的链接,智能终端可以根据该链接访问服务端的第一接口。
例如,在一购物应用中,在智能终端上点击“我的订单”,则向服务端的前置校验接口发送订单查询请求。在越权拦截开关开启时,服务端根据订单查询请求确定所要查询的订单号以及下一步操作的链接,然后对订单号进行加密,生成订单加密信息,最后将订单号、订单加密信息以及下一步操作的链接发送给智能终端。此处的下一步操作的链接即为第一接口的链接。
步骤S101-S104中,从第二接口接收所述智能终端发送的第二访问请求,此步骤为合法访问第一接口前需要执行的步骤,以获取第一接口的链接及校验字段(即第一字段和第二字段)。在越权拦截开关开启时,根据所述第二访问请求确定所述第二字段,以及用于接收智能终端发送所述第一访问请求的所述第一接口的链接,第二字段可任意指定,越权攻击难以破解,安全性高。对所述第二字段进行加密,生成第一字段,以保证校验字段的安全性。向所述智能终端发送第二字段、第一字段及所述第一接口的链接,以供所述智能终端通过所述第一接口发送包含所述第一字段和所述第二字段的第一访问请求,以使智能终端通过服务端发放的链接对第一接口进行访问,防止非法的访问。
具体的,如图4所示,所述对所述第二字段进行加密,生成第一字段,包括:
S1031、根据高级加密标准算法对所述第二字段进行处理,生成所述第一字段。
高级加密标准算法,又称AES算法(英语全称为:Advanced EncryptionStandard),是一种高级的对称加密算法,具有密钥建立时间短、灵敏性好、内存需求低的优点。本实施例中,可根据实际需要确定密钥长度,如可以是192位,也可以是256位。使用AES密钥对第二字段进行加密,生成加密后的密文,该密文即为第一字段。例如,若第二字段为“123456789”,高级加密标准算法的密钥为“000000”,选用的密钥长度256位,则根据高级加密标准算法对第二字段进行加密,可以生成密文
“L7YC4KFh3mL3QvVERa/SIPfUl4n9EjCvQZWrdYKgwHw=”,此密文即为第一字段。还可以通过添加盐值的方式增加第一字段的安全性,以防止被破解或被篡改。由于AES算法的密钥保存于服务端上,可以防止密钥被盗,安全性高。
步骤S1031中,根据高级加密标准算法对所述第二字段进行处理,生成所述第一字段,通过AES算法加密的方式对第二字段进行加密,提高了第一字段的安全性,同时AES算法的加密和解密速度快,消耗的系统资源小,有效地平衡了服务端安全和性能的需求。
具体的,如图5所示,所述判断所述第一访问请求是否满足预设校验规则,包括:
S201、判断所述第一字段是否为空;
S202、若所述第一字段非空,按预设的解密算法解密所述第一字段;
S203、判断所述第一字段解密后的信息是否与所述第二字段匹配;
S204、若所述第一字段解密后的信息与所述第二字段匹配,则判定所述第一访问请求满足预设校验规则。
本实施例中,若第一字段为空,则说明该第一访问请求为越权行为,服务端拦截该请求并向智能终端发送拒绝提醒,智能终端无法获得第一访问请求所请求的数据信息。若第一字段非空,需进一步判断经第一字段解密后的信息是否与第二字段匹配。若经第一字段解密后的信息与第二字段不匹配,同样说明该第一访问请求为越权行为,服务端拦截该请求并向智能终端发送拒绝提醒,智能终端无法获得第一访问请求所请求的数据信息。在此处预设的解密算法与步骤S103采用的加密算法属于同一种算法,但计算过程刚好相反。若经第一字段解密后的信息与第二字段匹配,判定第一访问请求满足预设校验规则,说明该第一访问请求不是越权行为。
步骤S201-S204中,判断所述第一字段是否为空,以检验第一访问请求是否合法,若第一字段为空,则第一访问请求为非法请求,可以直接拒绝第一访问请求,减少服务端的计算量。若所述第一字段非空,按预设的解密算法解密所述第一字段,通过解密第一字段,以校验解密后的第一字段是否与第二字段相同。判断所述第一字段解密后的信息是否与所述第二字段匹配,以确定第一访问请求中的校验字段是否被篡改。若所述第一字段解密后的信息与所述第二字段匹配,则判定所述第一访问请求满足预设校验规则,校验字段校验通过(即第一字段解密后的信息与第二字段匹配),则说明第一访问请求是合法的访问请求。
可选的,所述从第一接口接收智能终端发送的第一访问请求之前,还包括:
按预设调整规则调整所述第二字段;
对调整后的第二字段进行加密,生成所述第一字段;
对应地,如图6所示,所述判断第一字段解密后的信息是否与所述第二字段匹配,包括:
S2031、判断所述第一字段解密后的信息是否与按所述预设调整规则调整后的第二字段是否相同;
S2032、若所述第一字段解密后的信息与按所述预设调整规则调整后的第二字段相同,则判定所述第二字段与所述第一字段匹配。
本实施例中,预设调整规则可以根据实际需要进行设定,如可以是将第二字段的所有字符顺序重新排序,如果第二字段为数字,也可以对第二字段的每个数字进行取余操作。例如,第二字段为“甲乙丙丁”,预设调整规则为将第二字段的所有字符顺序按倒序重新排列,经预设调整规则对“甲乙丙丁”进行重新排序,调整后的第二字段为“丁丙乙甲”。若第二字段为“1234567”,预设调整规则为对第二字段的每个数字进行对3取余操作,经预设调整规则对“1234567”进行调整,调整后的第二字段为“1201201”。
通过直接比较的方式来确定按预设调整规则调整后的第二字段是否与第一字段匹配。以订单号为例,第一字段解密后的订单号为“547682136498887”,若按预设调整规则调整后的第二字段也为“547682136498887”,则说明第二字段与第一字段匹配;若按预设调整规则调整后的第二字段为其他数字序列,如“135647841239846”,则说明第二字段与第一字段不匹配。
步骤S2031-S2032中,判断所述第一字段解密后的信息是否与所述第二字段是否相同,通过直接比较的方法判断第一字段是否与第二字段匹配,效率高,处理速度快。若所述第一字段解密后的信息与所述第二字段相同,则判定所述第二字段与所述第一字段匹配,以确定第一访问请求满足预设校验规则。
具体的,如图7所示,所述第一字段包括加密时间,所述判断所述第一访问请求是否满足预设校验规则,还包括:
S205、判断当前时间与所述加密时间的差值是否大于预设时间阈值;
S206、若当前时间与所述加密时间的差值大于预设时间阈值,则判定所述第一访问请求不满足预设校验规则。
本实施例中,加密时间可以是接收到第二访问请求的时间,也可以是对第二字段进行加密时,获取实时的时间,并添加入第一字段中。预设时间阈值可以是5分钟、10分钟、30分钟或者其他设置时间。若当前时间与所述加密时间的差值小于或等于预设时间阈值,还需判定第一访问请求是否满足预设校验规则的其他要求,才可认为该第一访问请求满足预设校验规则。例如,加密时间为12点00分,预设时间阈值为10分钟,若当前时间为12点15分,则判定接收到的第一访问请求不满足预设校验规则;若当前时间为12点06分,可进入下一步的判断流程。
步骤S205-S206中,判断当前时间与所述加密时间的差值是否大于预设时间阈值,以确保第一访问请求的时效性(即智能终端需要在预设时间阈值内通过服务端提供的链接访问第一接口,否则第一访问请求将被拒绝)。若当前时间与所述加密时间的差值大于预设时间阈值,则判定所述第一访问请求不满足预设校验规则,以防止用户通过过时(即超出预设时间阈值)的缓存访问第一接口,保证第一接口数据的安全性。
可选的,如图8所示,所述从第一接口接收智能终端发送的第一访问请求之后,还包括:
S21、在所述越权拦截开关关闭时,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
本实施例中,当越权拦截开关关闭时,为了节省服务端计算资源,服务端向智能终端发送与第一访问请求对应的数据信息。可以设置一些判断规则来确定服务端是否遭受越权攻击,若遭受越权攻击,则开启越权拦截开关;若没有遭受越权攻击,则关闭越权拦截开关。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种防越权装置,该防越权装置与上述实施例中防越权方法一一对应。如图9所示,该防越权装置包括第一请求模块10、字段检验模块20和第一发送模块30。各功能模块详细说明如下:
第一请求模块10,用于从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括第一字段和第二字段,所述第一字段与所述第二字段用于校验所述第一访问请求是否被越权攻击;
字段检验模块20,用于在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验到所述第二字段与所述第一字段匹配;
第一发送模块30,用于若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
可选的,防越权装置还包括:
第二请求模块,用于从第二接口接收所述智能终端发送的第二访问请求;
确定字段模块,用于在越权拦截开关开启时,根据所述第二访问请求确定所述第二字段,以及用于接收智能终端发送所述第一访问请求的所述第一接口的链接;
加密模块,用于对所述第二字段进行加密,生成第一字段;
第二发送模块,用于向所述智能终端发送第二字段、第一字段及所述第一接口的链接,以供所述智能终端通过所述第一接口发送包含所述第一字段和所述第二字段的第一访问请求。
可选的,所述加密模块包括:
AES加密单元,用于根据高级加密标准算法对所述第二字段进行处理,生成所述第一字段。
可选的,字段检验模块20包括:
第一判断单元,用于判断所述第一字段是否为空;
解密单元,用于若所述第一字段非空,按预设的解密算法解密所述第一字段;
第二判断单元,用于判断所述第一字段解密后的信息是否与所述第二字段匹配;
判定匹配单元,用于若所述第一字段解密后的信息与所述第二字段匹配,则判定所述第一访问请求满足预设校验规则。
可选的,防越权装置还包括第二字段加密模块,所述第二字段加密模块包括:
调整单元,用于按预设调整规则调整所述第二字段;
第一字段生成单元,用于对调整后的第二字段进行加密,生成所述第一字段;
对应的,第二判断单元包括:
字段检校单元,用于判断所述第一字段解密后的信息是否与所述第二字段是否相同;
确定匹配单元,用于若所述第一字段解密后的信息与按所述预设调整规则调整后的第二字段相同,则判定所述第二字段与所述第一字段匹配。
可选的,所述第一字段包括加密时间,字段检验模块20还包括:
时间比较单元,用于判断当前时间与所述加密时间的差值是否大于预设时间阈值;
判定超时单元,用于若当前时间与所述加密时间的差值大于预设时间阈值,则判定所述第一访问请求不满足预设校验规则。
可选的,防越权装置还包括:
拦截关闭模块,用于在所述越权拦截开关关闭时,向所述智能终端发送与所述第一访问请求对应的数据信息。
关于防越权装置的具体限定可以参见上文中对于防越权方法的限定,在此不再赘述。上述防越权装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储防越权方法涉及的数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种防越权方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
用于从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括第一字段和第二字段,所述第一字段与所述第二字段用于校验所述第一访问请求是否被越权攻击;
在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验到所述第二字段与所述第一字段匹配;
若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
用于从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括第一字段和第二字段,所述第一字段与所述第二字段用于校验所述第一访问请求是否被越权攻击;
在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验到所述第二字段与所述第一字段匹配;
若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (10)
1.一种防越权方法,其特征在于,包括:
从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括第一字段和第二字段,所述第一字段与所述第二字段用于校验所述第一访问请求是否被越权攻击;
在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验到所述第二字段与所述第一字段匹配;
若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
2.如权利要求1所述的防越权方法,其特征在于,所述从第一接口接收智能终端发送的第一访问请求之前,还包括:
从第二接口接收所述智能终端发送的第二访问请求;
在越权拦截开关开启时,根据所述第二访问请求确定所述第二字段,以及用于接收智能终端发送所述第一访问请求的所述第一接口的链接;
对所述第二字段进行加密,生成第一字段;
向所述智能终端发送第二字段、第一字段及所述第一接口的链接,以供所述智能终端通过所述第一接口发送包含所述第一字段和所述第二字段的第一访问请求。
3.如权利要求2所述的防越权方法,其特征在于,所述对所述第二字段进行加密,生成第一字段,包括:
根据高级加密标准算法对所述第二字段进行处理,生成所述第一字段。
4.如权利要求1所述的防越权方法,其特征在于,所述判断所述第一访问请求是否满足预设校验规则,包括:
判断所述第一字段是否为空;
若所述第一字段非空,按预设的解密算法解密所述第一字段;
判断所述第一字段解密后的信息是否与所述第二字段匹配;
若所述第一字段解密后的信息与所述第二字段匹配,则判定所述第一访问请求满足预设校验规则。
5.如权利要求4所述的防越权方法,其特征在于,所述从第一接口接收智能终端发送的第一访问请求之前,还包括:
按预设调整规则调整所述第二字段;
对调整后的第二字段进行加密,生成所述第一字段;
对应地,所述判断第一字段解密后的信息是否与所述第二字段匹配包括:
判断所述第一字段解密后的信息是否与按所述预设调整规则调整后的第二字段是否相同;
若所述第一字段解密后的信息与按所述预设调整规则调整后的第二字段相同,则判定所述第二字段与所述第一字段匹配。
6.如权利要求1所述的防越权方法,其特征在于,所述第一字段包括加密时间,所述判断所述第一访问请求是否满足预设校验规则,还包括:
判断当前时间与所述加密时间的差值是否大于预设时间阈值;
若当前时间与所述加密时间的差值大于预设时间阈值,则判定所述第一访问请求不满足预设校验规则。
7.如权利要求1所述的防越权方法,其特征在于,所述从第一接口接收智能终端发送的第一访问请求之后,还包括:
在所述越权拦截开关关闭时,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
8.一种防越权装置,其特征在于,包括:
第一请求模块,用于从第一接口接收智能终端发送的第一访问请求,所述第一访问请求包括第一字段和第二字段,所述第一字段与所述第二字段用于校验所述第一访问请求是否被越权攻击;
字段检验模块,用于在越权拦截开关开启时,判断所述第一访问请求是否满足预设校验规则,所述满足预设校验规则至少包括检验到所述第二字段与所述第一字段匹配;
第一发送模块,用于若所述第一访问请求满足预设校验规则,确认所述第一访问请求未被越权攻击,获取与所述第一访问请求对应的数据信息,并将所述数据信息发送给所述智能终端。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述防越权方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述防越权方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811526492.2A CN109600377B (zh) | 2018-12-13 | 2018-12-13 | 防越权方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811526492.2A CN109600377B (zh) | 2018-12-13 | 2018-12-13 | 防越权方法、装置、计算机设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109600377A true CN109600377A (zh) | 2019-04-09 |
| CN109600377B CN109600377B (zh) | 2022-11-22 |
Family
ID=65961958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811526492.2A Active CN109600377B (zh) | 2018-12-13 | 2018-12-13 | 防越权方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109600377B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111625803A (zh) * | 2020-05-29 | 2020-09-04 | 北京思特奇信息技术股份有限公司 | 用于电信业务防越权访问的端到端验证方法及系统 |
| CN111709803A (zh) * | 2020-06-12 | 2020-09-25 | 北京思特奇信息技术股份有限公司 | 一种防止越权办理业务的方法和系统 |
| CN112637222A (zh) * | 2020-12-26 | 2021-04-09 | 中国农业银行股份有限公司 | 一种请求的处理方法及装置 |
| CN113689283A (zh) * | 2021-08-04 | 2021-11-23 | 德邦证券股份有限公司 | 权限管理方法、装置以及存储介质 |
| CN115208593A (zh) * | 2021-03-26 | 2022-10-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
| CN116055153A (zh) * | 2023-01-04 | 2023-05-02 | 浙江网商银行股份有限公司 | 一种防止越权访问的方法、装置和设备 |
| CN116781425A (zh) * | 2023-08-21 | 2023-09-19 | 太平金融科技服务(上海)有限公司深圳分公司 | 一种业务数据获取方法、装置、设备及存储介质 |
| CN117714216A (zh) * | 2024-02-06 | 2024-03-15 | 杭州城市大脑有限公司 | 一种基于对多维度唯一标识加密的数据越权访问控制方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685081A (zh) * | 2011-03-17 | 2012-09-19 | 腾讯科技(深圳)有限公司 | 一种网页请求安全处理方法及系统 |
| CN104301302A (zh) * | 2014-09-12 | 2015-01-21 | 深信服网络科技(深圳)有限公司 | 越权攻击检测方法及装置 |
| CN105591746A (zh) * | 2014-12-11 | 2016-05-18 | 中国银联股份有限公司 | 一种在线绑定受理终端的处理方法以及处理系统 |
| CN107508839A (zh) * | 2017-09-28 | 2017-12-22 | 中国银联股份有限公司 | 一种控制web系统越权访问的方法和装置 |
| CN108650214A (zh) * | 2018-03-16 | 2018-10-12 | 交通银行股份有限公司 | 动态页面加密防越权方法及装置 |
-
2018
- 2018-12-13 CN CN201811526492.2A patent/CN109600377B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102685081A (zh) * | 2011-03-17 | 2012-09-19 | 腾讯科技(深圳)有限公司 | 一种网页请求安全处理方法及系统 |
| CN104301302A (zh) * | 2014-09-12 | 2015-01-21 | 深信服网络科技(深圳)有限公司 | 越权攻击检测方法及装置 |
| CN105591746A (zh) * | 2014-12-11 | 2016-05-18 | 中国银联股份有限公司 | 一种在线绑定受理终端的处理方法以及处理系统 |
| CN107508839A (zh) * | 2017-09-28 | 2017-12-22 | 中国银联股份有限公司 | 一种控制web系统越权访问的方法和装置 |
| CN108650214A (zh) * | 2018-03-16 | 2018-10-12 | 交通银行股份有限公司 | 动态页面加密防越权方法及装置 |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111625803A (zh) * | 2020-05-29 | 2020-09-04 | 北京思特奇信息技术股份有限公司 | 用于电信业务防越权访问的端到端验证方法及系统 |
| CN111709803A (zh) * | 2020-06-12 | 2020-09-25 | 北京思特奇信息技术股份有限公司 | 一种防止越权办理业务的方法和系统 |
| CN111709803B (zh) * | 2020-06-12 | 2023-09-05 | 北京思特奇信息技术股份有限公司 | 一种防止越权办理业务的方法和系统 |
| CN112637222A (zh) * | 2020-12-26 | 2021-04-09 | 中国农业银行股份有限公司 | 一种请求的处理方法及装置 |
| CN115208593A (zh) * | 2021-03-26 | 2022-10-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
| CN115208593B (zh) * | 2021-03-26 | 2023-08-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
| CN113689283A (zh) * | 2021-08-04 | 2021-11-23 | 德邦证券股份有限公司 | 权限管理方法、装置以及存储介质 |
| CN116055153A (zh) * | 2023-01-04 | 2023-05-02 | 浙江网商银行股份有限公司 | 一种防止越权访问的方法、装置和设备 |
| CN116781425A (zh) * | 2023-08-21 | 2023-09-19 | 太平金融科技服务(上海)有限公司深圳分公司 | 一种业务数据获取方法、装置、设备及存储介质 |
| CN116781425B (zh) * | 2023-08-21 | 2023-11-07 | 太平金融科技服务(上海)有限公司深圳分公司 | 一种业务数据获取方法、装置、设备及存储介质 |
| CN117714216A (zh) * | 2024-02-06 | 2024-03-15 | 杭州城市大脑有限公司 | 一种基于对多维度唯一标识加密的数据越权访问控制方法 |
| CN117714216B (zh) * | 2024-02-06 | 2024-04-30 | 杭州城市大脑有限公司 | 一种基于对多维度唯一标识加密的数据越权访问控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109600377B (zh) | 2022-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109600377A (zh) | 防越权方法、装置、计算机设备及存储介质 | |
| US10671733B2 (en) | Policy enforcement via peer devices using a blockchain | |
| US11848922B2 (en) | Cryptographic systems and methods | |
| CN113691502B (zh) | 通信方法、装置、网关服务器、客户端及存储介质 | |
| CN113014444B (zh) | 一种物联网设备生产测试系统及安全保护方法 | |
| CN106027503A (zh) | 一种基于tpm的云存储数据加密方法 | |
| CN103560887B (zh) | 智能终端远程证明方法和系统 | |
| CN114024710A (zh) | 一种数据传输方法、装置、系统及设备 | |
| CN108449315A (zh) | 请求合法性的校验装置、方法及计算机可读存储介质 | |
| CN106878245A (zh) | 图形码信息提供、获取方法、装置及终端 | |
| CN110708162B (zh) | 资源的获取方法、装置、计算机可读介质及电子设备 | |
| CN109040134A (zh) | 一种信息加密的设计方法及相关装置 | |
| CN110175466A (zh) | 开放平台的安全管理方法、装置、计算机设备及存储介质 | |
| CN107609410A (zh) | 基于HOOK的Android系统数据保护方法、终端设备及存储介质 | |
| CN115580413B (zh) | 一种零信任的多方数据融合计算方法和装置 | |
| CN106209346B (zh) | 白盒密码技术交错查找表 | |
| CN116436682A (zh) | 数据处理方法、装置及系统 | |
| CN108959908B (zh) | 一种与接入sdk的移动平台进行认证的方法、计算机设备及存储介质 | |
| CN111611620B (zh) | 一种访问平台的访问请求处理方法及相关装置 | |
| CN116049802B (zh) | 应用单点登陆方法、系统、计算机设备和存储介质 | |
| CN114553557B (zh) | 密钥调用方法、装置、计算机设备和存储介质 | |
| CN114978664A (zh) | 一种数据共享方法、装置及电子设备 | |
| CN110399706B (zh) | 授权认证方法、装置和计算机系统 | |
| CN115130118A (zh) | 访问数据库的方法和装置 | |
| CN112311752A (zh) | 一种物联网智能表计安全系统及实现方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |