CN109981555A - 对网页数据的处理方法、装置、设备、终端及存储介质 - Google Patents
对网页数据的处理方法、装置、设备、终端及存储介质 Download PDFInfo
- Publication number
- CN109981555A CN109981555A CN201711497623.4A CN201711497623A CN109981555A CN 109981555 A CN109981555 A CN 109981555A CN 201711497623 A CN201711497623 A CN 201711497623A CN 109981555 A CN109981555 A CN 109981555A
- Authority
- CN
- China
- Prior art keywords
- data
- web data
- type
- web
- privately owned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种对网页数据的处理方法、装置、安全服务设备、终端及存储介质,其中,该方法包括:接收网页服务器发送的网页数据;如果由终端发送的所述网页获取请求中包括劫持检测标识,则获取所述网页数据的签名信息,所述签名信息包括所述网页数据的长度值;在所述网页数据中设置私有签名字段,并根据所述签名信息在所述私有签名字段设置长度值;将所述设置了私有签名字段的网页数据返回给所述终端,可较为准确地、且便捷地进行网页数据的防劫持处理,提高数据的安全性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及对网页数据的处理方法、装置、安全服务设备、终端及存储介质。
背景技术
随着互联网的迅速发展,网络已经成为用户生活及工作中的必备工具,通过网络用户可以访问网站、论坛或贴吧等平台,以获取各种各样的数据。但是,经常会出现第三方通过插件、辅助对象(如浏览器辅助对象)、浏览器劫持(Winsock Layered ServiceProvider,WinsockLSP)等形式对网页数据进行篡改,从而使得访问的数据被劫持。
如果访问的数据被劫持,会给用户的隐私安全、日常生活及工作造成不良影响,例如,用户需要通过访问网站查找资料,而该网站的数据被劫持,用户不仅不能查找到所需要的资料,反而访问的网站会跳转到恶意网站,或强制下载插件,或弹出广告页面等等。
实践中,需要服务器根据网页数据计算校验码,如,计算网页数据的消息摘要码(Message Digest 5,MD5),将携带校验码的网页数据发送给终端,需要终端根据接收到的网页数据计算校验码,将计算得到的校验码与网页数据携带的校验码进行对比,来检测该网页数据是否被劫持,但是,在网络质量不佳等场景下,导致的丢包现象,会将该网页数据误判为被劫持,可见,该防劫持处理方法不仅需要大量复杂的运算才能实现,而且准确度较低。
发明内容
本发明实施例所要解决的技术问题在于,提供一种对网页数据的处理方法、装置、服务器、终端及存储介质,可较为准确地、且便捷地进行网页数据的防劫持处理。
第一方面,本发明实施例提供了一种对网页数据的处理方法,该方法包括:
接收网页服务器发送的网页数据,所述网页数据是所述网页服务器响应网页获取请求返回的响应数据;
如果由终端发送的所述网页获取请求中包括劫持检测标识,则获取所述网页数据的签名信息,所述签名信息包括所述网页数据的长度值;
在所述网页数据中设置私有签名字段,并根据所述签名信息在所述私有签名字段设置长度值;
将所述设置了私有签名字段的网页数据返回给所述终端。
第二方面,本发明实施例提供了另一种对网页数据的处理方法,该方法包括:
向网页服务器发送携带劫持检测标识的网页获取请求;
接收所述网页服务器针对所述网页获取请求返回的网页数据;
提取所述网页数据中包括的私有签名字段的值;
根据提取的私有签名字段的值确定所述网页数据的劫持类型;
其中,所述提取的私有签名字段的值包括长度值,所述长度值用于指示所述网页数据被所述网页服务器发送时的长度。
第三方面,本发明实施例提供了一种对网页数据的处理装置,该装置包括:
接收模块,用于接收网页服务器发送的网页数据,所述网页数据是所述网页服务器响应网页获取请求返回的响应数据;
获取模块,用于如果由终端发送的所述网页获取请求中包括劫持检测标识,则获取所述网页数据的签名信息,所述签名信息包括所述网页数据的长度值;
设置模块,用于在所述网页数据中设置私有签名字段,并根据所述签名信息在所述私有签名字段设置长度值;
发送模块,用于将所述设置了私有签名字段的网页数据返回给所述终端。
第四方面,本发明实施例提供了另一种对网页数据的处理装置,该装置包括:
发送模块,用于向网页服务器发送携带劫持检测标识的网页获取请求;
接收模块,用于接收所述网页服务器针对所述网页获取请求返回的网页数据;
提取模块,用于提取所述网页数据中包括的私有签名字段的值;
确定模块,用于根据提取的私有签名字段的值确定所述网页数据的劫持类型;
其中,所述提取的私有签名字段的值包括长度值,所述长度值用于指示所述网页数据被所述网页服务器发送时的长度。
第五方面,本发明实施例提供了一种安全服务设备,该安全服务设备包括:处理器和存储装置,其中,所述存储装置用于存储计算机应用程序指令,所述处理器用于调用所述计算机应用程序指令,执行上述第一方面的对网页数据的处理方法。
第六方面,本发明实施例提供了一种终端,该终端包括:处理器和存储装置,其中,所述存储装置用于存储计算机应用程序指令,所述处理器用于调用所述计算机应用程序指令,执行上述第二方面的对网页数据的处理方法。
本发明实施例还提供了一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行上述的对网页数据的处理方法。
本发明实施例中,通过对网页数据设置私有签名字段,并为私有签名字段设置值,得到携带签名字段的网页数据,将携带私有签名字段的网页数据发送至终端,以便终端可以根据网页数据的签名字段便捷地且准确地检测该网页数据是否被劫持,提高网页数据的安全性。另外,不需要增加安全服务设备的硬件成本、也不会对终端的性能造成影响,因此,实现该方案的成本较低。并且所有的改进可以仅仅在安全服务设备中实现,不需要对其他的网页服务器进行改进,在提高安全性的同时,也极大地节省了功能更新成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1a是本发明提供的一种对网页数据的处理系统的网络架构示意图;
图1b是本发明提供的一种对网页数据签名方法的流程示意图;
图1c是本发明提供的一种采用第一签名方式对网页数据签名方法的流程示意图;
图1d是本发明提供的一种采用第二签名方式对网页数据签名方法的流程示意图;
图1e是本发明提供的一种对网页数据的签名校验方法的流程示意图;
图1f是本发明提供的一种采用第一检测策略检测网页数据的劫持类型方法的流程示意图;
图1g是本发明提供的一种采用第二检测策略检测网页数据的劫持类型方法的流程示意图;
图2是本发明提供的一种对网页数据的处理方法的流程示意图;
图3是本发明提供的一种对网页数据的处理方法的流程示意图;
图4是本发明提供的一种对网页数据的处理装置的结构示意图;
图5是本发明提供的一种对网页数据的处理装置的结构示意图;
图6是本发明提供的一种安全服务设备的结构示意图;
图7是本发明提供的一种终端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了更好理解本发明实施例提供的一种对网页数据的处理方法、装置、网页服务器及终端,下面先描述本发明实施例的对网页数据的处理系统。
本发明实施例的对网页数据的处理系统的网络架构如图1a所示,所述网络构架包括终端10、安全服务设备11、至少一个应用服务器(图1以网页服务器12、社交网络服务器13及网络媒体服务器14为例),网页服务器12与安全服务设备11连接,安全服务设备11与终端10连接,其中,终端10可以用于向网页服务器12发送网页获取请求,并对网页数据进行劫持检测(即校验签名);网页服务器12响应该网页获取请求,并生成网页数据;安全服务设备11用于对网页数据进行签名。
在一个实施例中,网页服务器12、社交网络服务器13及网络媒体服务器14可以用于根据网页获取请求返回网页数据,本发明实施例中以网页服务器12为例进行说明。
基于图1a所示的网络架构可以实现一种对网页数据的处理方法,该对网页数据的处理方法包括两个方面,第一方面为对网页数据进行签名,第二方面为对网页数据的签名进行校验,下面对两方面进行详细介绍。
如图1b所示,是本发明实施例的一种对网页数据进行签名的方法流程示意图,对网页数据进行签名的方法可以包括如下步骤。
S101、终端10发送网页获取请求至网页服务器12。
终端10可以向安全服务设备11发送网页获取请求,由安全服务设备11将该网页获取请求转发至网页服务器12,或者终端10可以直接向网页服务器12发送网页获取请求,该网页获取请求可以携带劫持检测标识。
S102、网页服务器12根据接收到的网页获取请求生成网页数据,将网页数据发送至安全服务设备11。
S103、安全服务设备11可以判断接收到的该网页数据是否满足预设的签名条件,若满足,则安全服务设备10执行步骤S104,否则,则结束本次流程。
安全服务设备11可以检测接收到的该网页获取请求的头部数据是否携带劫持检测标识,若携带劫持检测标识,则确定该网页数据满足预设的签名条件,否则,确定该网页数据不满足预设的签名条件。该网页获取请求的头部数据携带劫持检测标识是指该头部数据携带劫持检测字段,且该劫持检测字段的值为指定值。
在一个实施例中,如果安全服务设备11检测到该网页获取请求的头部数据携带如表1所示的劫持检测标识,则确定该网页数据满足预设的签名条件,表1中的实验性的安全云网关安全检测(experimental Secure Cloud Gateway security check,X-SGW-Sc)用于表示劫持检测字段,表1中的数字1表示劫持检测字段的值。
表1
X-SGW-Sc:1 |
S104、若满足预设的签名条件,则安全服务设备11对该网页数据进行签名,并将携带签名的网页数据发送至终端10,以便终端10根据该网页数据的签名进行校验,若不满足预设的签名条件,则将该网页数据发送至终端10。
安全服务设备可以根据该网页数据的编码类型对该网页数据进行签名,也就是说,若该网页数据的编码类型为分片类型,则采用第一签名方式对该网页数据进行签名;若该网页数据的编码类型为非分片类型,则采用第二签名方式对该网页数据进行签名。
在一个实施例中,如图1c所示,是安全服务设备11采用第一签名方式对该网页数据进行签名的方法流程示意图,采用第一签名方式对该网页数据进行签名的方法可以包括如下步骤。
S1041、若该网页数据的编码类型为分片类型,则获取该网页数据的签名信息,该签名信息包括该网页数据的长度值及类型指示值。
在一个实施例中,该类型指示值用于指示该网页数据的编码类型为分块类型。
该签名信息包括网页数据的长度值,该网页数据包括第一类型分片数据及第二类型分片数据,安全服务设备11获取签名信息的具体方式包括:安全服务设备可以依次从各个第一类型分片数据的长度字段中读取各个第一类型分片数据的大小,以确定该网页数据包括的第一类型的分片数据的数据量值,对确定的数据量值进行求和处理,得到该网页数据的数据量总和值,可以表示为:
上式中的X表示该网页数据的第一类型分片数据的分片数量,size(chunk(n))表示第n个分片数据的数据量值,S表示该网页数据的数据量总和值。
安全服务设备11可以将该网页数据的数据量总和值作为网页数据的长度值,根据该网页数据的长度值生成该网页数据的签名信息。
需要说明的是,第一类型的分片数据可以是指该网页数据中除最后一个分片数据以外的所有分片数据,第二类型的分片数据可以是指该网页数据的最后一个分片数据。
S1042、在该网页数据的头部数据中设置私有签名字段,根据签名信息在该头部数据中的私有签名字段设置类型指示值。
在一个实施例中,若该签名信息包括类型指示值为0,安全服务设备11可以在该网页数据的头部数据中设置私有签名字段,该私有签名字段为实验性的安全云网关的原始内容(experimental Secure Cloud Gateway origin content,X-SGW-Oc),在头部数据的私有签名字段设置类型指示值0,得到该网页数据的头部数据的签名如表2所示,表2中的X-SGW-Oc表示头部数据的私有签名字段,表2中的数字0表示该私有签名字段的值,即类型指示值。
表2
X-SGW-Oc:0 |
S1043、在该网页数据的目标分片数据中设置私有签名字段,根据签名信息在该目标分片数据的私有签名字段设置长度值,得到携带签名字段的网页数据,即得到携带签名的网页数据。
在一个实施例中,该目标分片数据可以是指第二类型的分片数据,即该网页数据的最后一个分片数据,也可以是指其他分片数据。
在一个实施例中,网页数据的目标分片数据中设置私有签名字段可以是指:在该目标分片数据的扩展位(即保留位)添加私有签名字段,或在该目标分片数据中增加数据位,在增加的数据位添加私有签名字段。
在一个实施例中,签名信息包括该网页数据的长度值为S,安全服务设备11可以在该网页数据的目标分片数据(即最后一个分片数据)中设置私有签名字段,该私有签名字段为安全云网关的分片数据的数量总和值(Secure Cloud Gateway chunk total size,scts),根据签名信息中的网页数据的长度值在目标分片数据的私有签名字段设置长度值,即对网页数据的长度值进行编码,将编码后的该网页数据的长度值设置为该目标分片数据的私有签名字段的长度值,得到该网页数据的目标分片数据的签名如表3所示,表3中的scts表示目标分片数据的私有签名字段,表3中的base64(S)表示该目标分片数据的私有签名字段的值,即长度值,表3中的回车换行CRLF表示最后一个分片数据的结束符,表3中的Last_chunk:‘0’表示该分片数据为网页数据的最后一个分片,Last_chunk:‘0’与私有签名字段scts=base64(S)之间可以以空格分隔,私有签名字段scts=base64(S)与CRLF之间可以以分号分隔。
表3
Last_chunk:‘0’scts=base64(S);CRLF |
在一个实施例中,如图1d所示,是安全服务设备11采用第二签名方式对该网页数据进行签名的方法流程示意图,采用第二签名方式对该网页数据进行签名的方法可以包括如下步骤。
S1044、若该网页数据的编码类型为非分片类型,则获取该网页数据的签名信息,该签名信息包括该网页数据的长度值。
安全服务设备11可以从该网页数据的长度字段中提取该网页数据的长度值,也可以通过计算的方式计算出该网页数据的长度值。
S1045、对该签名信息包括的该网页数据的长度值进行编码,得到编码值。
安全服务设备11可以对该网页数据的长度值进行编码,得到该网页数据的长度的编码值,对网页数据的长度值进行编码可以提高网页数据的可读性。
举例来说,若网页数据的长度值为A,安全服务设备11采用base64的编码方式对该网页数据的长度值进行编码,得到编码值E,可以表示为:
E=base64(A)
S1046、在该网页数据的头部数据中设置私有签名字段,将该编码值设置为在该头部数据中的私有签名字段的长度值,得到携带签名字段的网页数据,即得到携带签名的网页数据。
在一个实施例中,安全服务设备11可以在该网页数据的头部数据中设置私有签名字段,可以以X-SGW-Oc来表示该头部数据中的私有签名字段,将该编码值设置为在该头部数据中的私有签名字段的长度值,得到网页数据的头部数据的签名,如表4所示,表4中的X-SGW-Oc表示网页数据的头部数据中的私有签名字段,E表示该头部数据中的私有签名字段的值,即长度值。
表4
X-SGW-Oc:E |
S105、将该设置了签名的网页数据返回给终端10,即将携带签名字段的网页数据返回给终端10,以便终端可以跟该网页数据的签名字段对该网页数据进行校验,即根据该网页数据的签名检测该网页数据是否被劫持。
由上述对第一方面的描述可知,安全服务设备可以对满足预设的签名条件的网页数据设置私有签名字段,并为私有签名字段设置值,得到携带签名字段的网页数据,将携带私有签名字段的网页数据发送至终端,以便终端可以根据网页数据的签名字段便捷地且准确地检测该网页数据是否被劫持,提高网页数据的安全性。另外,不需要增加安全服务设备的硬件成本、也不会对终端的性能造成影响,因此,实现该方案的成本较低。并且所有的改进可以仅仅在安全服务设备中实现,不需要对其他的网页服务器进行改进,在提高安全性的同时,也极大地节省了功能更新成本。
如图1e所示,是本发明实施例的另一种对网页数据的签名进行校验方法的流程示意图,该对网页数据的签名进行校验方法可以包括:
S106、终端10接收安全服务设备11返回的网页数据。
在一个实施例中,该网页数据为网页服务器12针对该终端10发送的携带劫持检测的网页获取请求所返回的响应数据,且由安全服务设备11对响应数据进行签名所得的数据。
S107、终端10检测该网页数据的头部数据中是否携带私有签名字段,若未携带,则执行步骤S108,否则,执行步骤S109。
举例来说,终端可以检测该网页数据的头部数据中是否携带X-SGW-Oc字段,若携带,则确定该网页数据的头部数据中携带私有签名字段,否则,确定不携带私有签名字段。
S108、若该网页数据的头部数据未携带私有签名字段,则确定该网页数据的劫持类型为第一劫持类型。
在一个实施例中,劫持类型可以包括第一劫持类型及第二劫持类型,第一劫持类型可以是指可以确定该网页数据被劫持,但无法确定该网页数据的数据内容是否被篡改,第一类型的劫持可以包括网页数据的编码类型被篡改,或该网页数据的私有签名字段被删除或被篡改等场景;第二劫持类型是指确定该网页数据的数据内容被第三方篡改,第二劫持类型可以包括在该网页数据的数据内容被第三方增加或删除数据。
由于安全服务设备11在该网页数据的头部数据中设置了私有签名字段,因此终端10接收到安全服务设备11返回的网页数据的头部数据不携带私有签名字段,则终端10确定该网页数据的头部数据的私有签名字段被删除,确定该网页数据的劫持类型为第一劫持类型。
S109、若该网页数据的头部数据携带私有签名字段,则获取该头部数据中的私有字段的值,判断该头部数据中的私有字段的值是否是指定类型指示值,若是类型指示值,则执行步骤S110,否则,执行步骤S111。
在一个实施例中,该类型指示值可以用于指示该网页数据的编码类型为分片类型,该类型指示值可以是指终端10与安全服务设备11事先约定的值。
S110、采用第一检测策略检测该网页数据的劫持类型。
如果该头部数据中的私有签名字段的值为类型指示值,终端10可以确定该网页数据被安全服务设备11发送时的编码类型为分片类型,就可以采用第一检测策略检测该网页数据的劫持类型。
终端10采用第一检测策略检测该网页数据的劫持类型的具体方式包括:若检测到该网页数据的编码类型不是分片类型,则终端10可以确定该网页数据的编码类型被篡改,并可以确定该网页数据的劫持类型为第一劫持类型;若该网页数据中的目标分片数据中不携带私有签名字段,终端10可以确定该网页数据的目标分片数据中的私有签名字段被删除,确定该网页数据的劫持类型为第一劫持类型;若网页数据的编码类型为分片类型,该网页数据的目标分片数据的私有签名字段的值与获取到的网页数据的长度值的关系满足劫持条件,则终端10确定该网页数据的数据内容被篡改,并确定该网页数据的劫持类型为第二劫持类型。
在一个实施例中,该目标分片数据的私有签名字段的值与获取到的网页数据的长度值的关系满足劫持条件可以是指:对获取到的网页数据的长度值编码所得值与该目标分片数据的私有签名字段的值不相等,或者两者的差值大于预设的值。
S111、采用第二检测策略检测该网页数据的劫持类型。
如果该头部数据中的私有签名字段的值不是类型指示值,终端10可以确定该网页数据被安全服务设备11发送时的编码类型为非分片类型,就可以采用第二检测策略检测该网页数据的劫持类型。
终端10采用第二检测策略检测该网页数据的劫持类型的具体方式包括:如果对该头部数据中的私有签名字段的值解码失败,终端10可以确定该头部数据的私有签名字段的值被篡改,或该头部数据的私有签名字段的值的编码方式被篡改,进而终端10可以确定该网页数据的劫持类型为第一劫持类型;若检测到该网页数据中未携带长度字段,则终端10可以确定该网页数据的长度字段被删除,并确定该网页数据的劫持类型为第一类型;如果对该头部数据中的私有签名字段的值解码所得长度值与获取到的该网页数据的长度值的关系满足劫持条件,则终端10可以确定该网页数据的数据内容被篡改,并确定该网页数据的劫持类型为第二劫持类型。
在一个实施例中,对该头部数据中的私有签名字段的值解码所得长度值与获取到的该网页数据的长度值的关系满足劫持条件可以是指:对该头部数据中的私有签名字段的值解码所得长度值与获取到的该网页数据的长度值不相等,或者两者的差值大于预设的值。
如图1f所示,是本发明实施例提供的终端10采用第一检测策略检测该网页数据的劫持类型方法的流程示意图,该采用第一检测策略检测该网页数据的劫持类型方法可以包括:
S1101、判断该网页数据的编码类型是否是分片类型,若否,则执行步骤S1102;否则,执行步骤S1103。
终端10可以根据该网页数据的数据特征判断该网页数据的编码类型是否是分片类型,若不是分片类型,则终端10确定该网页数据的编码类型被篡改,终端可以执行步骤S1102确定该网页数据的劫持类型;否则,执行步骤S1103进一步检测目标分片数据中是否携带私有签名字段。
S1102、确定该网页数据的劫持类型为第一类型的劫持。
如果该网页数据的编码类型不是分片类型,或如果该目标分片数据未携带私有签名字段,确定该网页数据的劫持类型为第一类型的劫持。
S1103、如果该网页数据的编码类型是分片类型,则检测该网页数据的目标分片数据是否携带私有签名字段,若未携带,则执行步骤S1102,否则,执行步骤S1104。
终端10可以检测该网页数据的目标分片数据是否携带私有签名字段,若未携带,则终端10确定该目标分片数据的私有签名字段被删除,终端可以执行步骤S1102确定该网页数据的劫持类型;否则,执行步骤S1104进一步检测该目标分片数据的私有签名字段的值与获取到的网页数据的长度值的关系。
举例来说,终端可以检测该网页数据的目标分片数据中是否携带私有签名字段scts,若不携带,则终端10确定该目标分片数据的私有签名字段scts被删除,终端可以执行步骤S1102,否则,执行步骤S1104。
S1104、如果该目标分片数据携带私有签名字段,则检测对该目标分片数据的私有签名字段的值解码所得长度值与获取到的网页数据的长度值是否相等,若不相等,则执行步骤S1105,否则,执行步骤S1106。
若终端10检测到对该目标分片数据的私有签名字段的值解码所得长度值与获取到的网页数据的长度值不相等,则终端10可以确定该网页数据的数据内容被篡改,终端可以执行步骤S1105确定该网页数据的劫持类型;否则,执行步骤S1106确定该网页数据未被劫持。
S1105、将该网页数据的劫持类型确定为第二劫持类型。
S1106、确定该网页数据未被劫持。
如图1g所示,是本发明实施例提供的一种终端10采用第二检测策略检测该网页数据的劫持类型方法的流程示意图,该采用第二检测策略检测该网页数据的劫持类型方法可以包括:
S1111、判断对该网页数据的头部数据中的私有字段的值是否解码成功,若失败,则执行步骤S1112,否则,执行步骤S1113。
终端10可以判断对该网页数据的头部数据中的私有字段的值是否解码成功,若解码失败,则终端10确定该头部数据的私有签名字段的值被篡改,或该头部数据的私有签名字段的值的编码方式被篡改,终端可以执行步骤S1112确定该网页数据的劫持类型;否则,执行步骤S1113进一步检测该网页数据中是否携带长度字段。
S1112、确定该网页数据的劫持类型为第一劫持类型。
若对该网页数据的头部数据中的私有字段的值解码失败,或检测到该网页数据中未携带长度字段,则终端10确定该网页数据的劫持类型为第一劫持类型。
S1113、检测该网页数据中是否携带长度字段,若不携带,则执行步骤S1112,否则,执行步骤S1114。
终端10可以检测该网页数据中是否携带长度字段,若未携带,则终端10确定该网页数据的长度字段被删除,终端可以执行步骤S1102确定该网页数据的劫持类型;否则,执行步骤S1114进一步判断长度字段中的长度值与对该网页数据的头部数据中的私有字段的值解码所得长度值是否相同。
该网页数据的长度字段为网页服务器发送该网页数据时该网页数据所携带的字段。
S1114、判断长度字段中的长度值与对该网页数据的头部数据中的私有字段的值解码所得长度值是否相等,若不相等,则执行步骤S1115,否则,执行步骤S1116。
若终端10检测到对该头部数据的私有签名字段的值解码所得长度值与长度字段中的长度值不相等,则终端10可以确定该网页数据的数据内容被篡改,终端可以执行步骤S1115确定该网页数据的劫持类型;否则,执行步骤S1116确定该网页数据未被劫持。
S1115、确定该网页数据的劫持类型为第二类型。
S1116、确定该网页数据未被劫持。
在一些实施例中,若确定该网页数据的劫持类型是第一劫持类型,终端可以将该网页数据上报给安全服务设备,安全服务设备可以进一步对该网页数据进行分析,以提高对网页数据进行劫持检测的准确性;若确定该网页数据的劫持类型是第二劫持类型,则终端可以将网页获取请求通过超文本传输协议安全(Hyper Text Transfer Protocol overSecure Socket Layer,HTTPS)重新发送至网页服务器。
由上述对第二方面的描述可知,终端可以通过检测网页数据中的私有签名字段或私有签名字段的值,可以较准确地且便捷地检测出该网页数据是否被劫持,并确定该网页数据的劫持类型,可以提高网页数据的安全性。
基于上述对网页数据的处理系统的网络架构的描述,本发明实施例提供一种对网页数据的处理方法,请参见图2,该对网页数据的处理方法应用于安全服务设备,该对网页数据的处理方法包括:
S201、接收网页服务器发送的网页数据,该网页数据是该网页服务器响应网页获取请求返回的响应数据。
在一个实施例中,安全服务器可以接收网页服务器针对终端的网页获取请求所返回的网页数据,以便可以对网页数据进行签名。
S202、如果由终端发送的该网页获取请求中包括劫持检测标识,则获取该网页数据的签名信息,该签名信息包括该网页数据的长度值。
在一个实施例中,如果由终端发送的该网页获取请求中包括劫持检测标识,则安全服务设备可以确定该网页数据满足预设的签名条件,并通过提取该网页数据的长度字段的值,将长度字段的值作为该网页数据的长度值,或通过计算的方式获取该网页数据的长度值,以得到签名信息。
作为一种可选的实施方式,为分片类型的该所述网页数据包括第一类型的分片数据及第二类型的分片数据,安全服务设备执行上述获取该网页数据的签名信息的具体方式包括:确定该网页数据包括的第一类型的分片数据的数据量值,对确定的数据量值进行求和处理,得到该网页数据的数据量总和值,将该数据量总和值作为该网页数据的长度值,根据该网页数据的长度值生成该网页数据的签名信息。
在一个实施例中,该第一类型的分片数据可以是指该网页数据的数据内容,即除该网页数据的最后一个分片数据以外的分片数据,该第二类型的分片数据可以是指该网页数据的最后一个分片数据。
在一个实施例中,若该网页数据的编码类型是分片类型,则安全服务设备可以依次从各个第一类型分片数据的长度字段中读取各个第一类型分片数据的大小,以确定该网页数据包括的第一类型的分片数据的数据量值,对确定的数据量值进行求和处理,得到该网页数据的数据量总和值,并将该数据量总和值作为该网页数据的长度值,根据该网页数据的长度值生成该网页数据的签名信息,以便可以根据签名信息对该网页数据进行签名。
S203、在该网页数据中设置私有签名字段,并根据该签名信息在该私有签名字段设置长度值。
在一个实施例中,安全服务设备可以在该网页数据的头部数据或该网页数据的数据内容中设置私有签名字段,并将该签名信息中包括的网页数据的长度值进行编码,将该网页数据的长度的编码值设置为该私有签名字段的长度值。
作为一种可选的实施方式,安全服务设备执行上述在该网页数据中设置私有签名字段,并根据该签名信息在该私有签名字段设置长度值的具体方式包括:若该网页数据的编码类型为分片类型,则在该网页数据的目标分片数据中设置该私有签名字段,根据该网页数据的长度值在该目标分片数据中的私有签名字段设置长度值。
在一个实施例中,该目标分片数据可以是指第二类型的分片数据,即该网页数据的最后一个分片数据,也可以是指其他任意分片数据。
在一个实施例中,若该网页数据的编码类型为分片类型,则安全服务设备可以在该网页数据的目标分片数据中设置私有签名字段,对该网页数据的长度值进行编码,将编码后的该网页数据的长度值设置为该私有签名字段的值,以便终端可以根据该目标分片数据中的私有签名字段及该私有签名字段的值检测该网页数据是否被劫持。
作为一种可选的实施方式,若该网页数据的编码类型为分片类型,该签名信息还包括类型指示值,安全服务设备还可以执行以下步骤:在该网页数据的头部数据中设置私有签名字段,在该头部数据中的私有签名字段设置类型指示值,该类型指示值用于指示该网页数据的编码类型为分片类型。
在一个实施例中,若该网页数据的编码类型为分片类型,则安全服务设备可以在网页数据的头部数据中设置私有签名字段,在该私有签名字段设置类型指示值,以指示该网页数据的编码类型是分片类型,以便终端可以该网页数据的头部数据的私有签名字段及该私有签名字段的值检测该网页数据是否被劫持。
需要说明的是,私有签名字段可以是由字母、数字或符号等中的至少一种组成,为了便于区分,该网页数据的头部数据中的私有签名字段与该网页数据的目标分片数据中的私有签名字段可以不同。
作为一种可选的实施方式,终端执行上述在该网页数据中设置私有签名字段,并根据该签名信息在该私有签名字段设置长度值的具体方式包括:若该网页数据的编码类型为非分片类型,在该网页数据的头部数据中设置私有签名字段,对该签名信息包括的该网页数据的长度值进行编码,得到编码值,将该编码值设置为在该头部数据中的私有签名字段的长度值。
在一个实施例中,若该网页数据的编码类型为非分片类型,安全服务设备可以在该网页数据的头部数据中设置私有签名字段,对该签名信息包括的该网页数据的长度值进行编码,得到编码值,将该编码值设置为在该头部数据中的私有签名字段的长度值,以便终端可以根据该网页数据头部数据中的私有签名字段及私有签名字段的值检测该网页数据是否被劫持。
S204、将该设置了私有签名字段的网页数据返回给该终端。
在一个实施例中,终端可以将该设置了私有前面字段的网页数据返回给该终端,以便该终端可以根据该网页数据的私有签名字段检测该网页数据是否被劫持,可以提高网页数据的安全性。
本发明实施例中,安全服务设备可以对满足预设的签名条件的网页数据设置私有签名字段,并为私有签名字段设置长度值,得到携带签名字段的网页数据,将携带私有签名字段的网页数据发送至终端,以便终端可以根据网页数据的签名字段检测该网页数据是否被劫持,提高网页数据的安全性。另外,不需要增加安全服务设备的硬件成本、也不会对终端的性能造成影响,因此,实现该方案的成本较低。
基于上述对网页数据的处理系统的网络架构的描述,本发明实施例提供另一种对网页数据的处理方法,请参见图3,该对网页数据的处理方法应用于终端,该对网页数据的处理方法包括:
S301、向网页服务器发送携带劫持检测标识的网页获取请求。
在一个实施例中,终端可以向安全服务设备发送网页获取请求,由安全服务设备将该网页获取请求转发至网页服务器,或者终端可以直接向网页服务器发送网页获取请求,该网页获取请求可以携带劫持检测标识。
S302、接收该网页服务器针对该网页获取请求返回的网页数据。
在一个实施例中,终端可以接收由该网页服务器针对该网页获取请求返回的响应数据,并由安全服务设备为该响应数据添加签名得到网页数据。
S303、提取该网页数据中包括的私有签名字段的值。
在一个实施例中,该提取的私有签名字段的值包括长度值,该长度值用于指示该网页数据被该网页服务器发送时的长度。
在一个实施例中,终端可以从该网页数据的头部数据或目标分片数据中提取私有签名字段的值,以便可以根据该私有签名字段的值确定该网页数据的劫持类型。
作为一种可选的实施方式,终端执行步骤S303之前还可以执行以下步骤:如果检测到该网页数据的头部数据中未携带私有签名字段,则确定该网页数据的劫持类型为第一劫持类型。
在一个实施例中,终端可以检测该网页数据的头部数据是否携带私有签名字段,若检测到该网页数据的头部数据未携带私有签名字段,则终端可以确定该网页数据的头部数据的私有签名字段被删除,终端可以确定该网页数据的劫持类型为第一劫持类型;若检测到该网页数据的头部数据携带私有签名字段,则终端可以执行步骤S304进一步根据私有签名字段的值确定该网页数据的劫持类型。
S304、根据提取的私有签名字段的值确定该网页数据的劫持类型。
在一个实施例中,提取的私有签名字段的值与获取得到的该网页数据的长度值的关系满足劫持条件,确定该网页数据的劫持类型为第二劫持类型。也就是说,对提取的私有签名字段的值进行解码所得值与获取得到的该网页数据的长度值不相等,或者两个值之间的差值大于预设的值,则确定该网页数据的劫持类型为第二劫持类型。
作为一种可选的实施方式,提取的私有签名字段的值包括:在该网页数据的头部数据中设置的私有签名字段的值,终端根据提取的私有签名字段的值确定该网页数据的劫持类型的具体实现方式包括:如果该网页数据的头部数据中携带私有签名字段,则判断该头部数据中的私有签名字段的值是否为指定的类型指示值,如果该头部数据中的私有签名字段的值是该类型指示值,则确定所述网页数据的编码类型不是分片类型,采用第一检测策略检测该网页数据的劫持类型,如果该头部数据中的私有签名字段的值不是该类型指示值,则采用第二检测策略检测该网页数据的劫持类型。
在一个实施例中,如果该头部数据中的私有签名字段的值为类型指示值,终端可以确定该网页数据被安全服务设备发送时的编码类型为分片类型,可以采用第一检测策略检测该网页数据的劫持类型;如果该头部数据中的私有签名字段的值不是类型指示值,终端可以确定该网页数据被安全服务设备发送时的编码类型为非分片类型,可以采用第二检测策略检测该网页数据的劫持类型,针对网页数据的编码类型不同,采用不同的检测策略检测该网页数据的劫持类型,可以对网页数据进行劫持检测的准确性。
作为一种可选的实施方式,该劫持类型包括第一劫持类型及第二劫持类型,上述采用第一检测策略检测该网页数据的劫持类型具体方式包括的:如果检测到该网页数据的编码类型不是分片类型,或该网页数据的编码类型是分片类型但所述网页数据的目标分片数据中未携带私有签名字段,则确定该网页数据的劫持类型为第一类型;如果该网页数据的编码类型是分片类型,该目标分片数据中的私有签名字段的值与获取到的该网页数据的长度值的关系满足劫持条件,则确定该网页数据的劫持类型为第二劫持类型。
在一个实施例中,该网页数据被安全服务设备发送时的编码类型为分片类型,若检测到该网页数据的编码类型不是分片类型,则终端可以确定该网页数据的编码类型被篡改,终端可以确定该网页数据的劫持类型为第一劫持类型;若该网页数据的编码类型是分片类型但所述网页数据的目标分片数据中未携带私有签名字段,终端可以确定该网页数据的目标分片数据中的私有签名字段被删除,确定该网页数据的劫持类型为第一劫持类型。
若网页数据的编码类型为分片类型,该网页数据的目标分片数据的私有签名字段的值与获取到的网页数据的长度值的关系满足劫持条件,则终端确定网页数据的数据内容被篡改,并确定该网页数据的劫持类型为第二劫持类型。
作为一种可选的实施方式,该劫持类型包括第一劫持类型及第二劫持类型,该采用第二检测策略检测该网页数据的劫持类型的具体实现方式包括:对提取的头部数据中的私有签名字段的值进行解码,如果对该提取的私有签名字段的值包括的长度值解码失败,或检测到该网页数据中未携带长度字段,则确定该网页数据的劫持类型为第一劫持类型;如果对该提取的私有签名字段的值包括的长度值解码所得长度值与获取到的所述网页数据的长度值的关系满足劫持条件,则确定该网页数据的劫持类型为第二劫持类型。
在一个实施例中,对提取的头部数据中的私有签名字段的值进行解码,如果对该头部数据中的私有签名字段的值解码失败,终端可以确定该头部数据的私有签名字段的值被篡改,或该头部数据的私有签名字段的值的编码方式被篡改,进而,终端可以确定该网页数据的劫持类型为第一劫持类型;若检测到该网页数据中未携带长度字段,则终端可以确定该网页数据的长度字段被删除,并确定该网页数据的劫持类型为第一劫持类型。
如果对该头部数据中的私有签名字段的值解码所得长度值与获取到的该网页数据的长度值的关系满足劫持条件,则终端可以确定该网页数据的数据内容被篡改,并确定该网页数据的劫持类型为第二劫持类型。
作为一种可选的实施方式,如果确定该网页数据的劫持类型为第一劫持类型,则将该网页数据上报至安全服务设备;如果确定该网页数据的劫持类型为第二劫持类型,则将该网页获取请求通过超文本传输协议安全HTTPS重新发送至该网页服务器。
在一个实施例中,若确定该网页数据的劫持类型是第一劫持类型,终端可以将该网页数据上报给安全服务设备,安全服务设备可以进一步对该网页数据进行分析,以提高对网页数据进行劫持检测的准确性;若确定该网页数据的劫持类型是第二劫持类型,则终端可以将网页获取请求通过超文本传输协议安全重新发送至网页服务器,以便网页服务器重新返回网页数据。
本发明实施例中,终端可以提取网页数据的私有签名字段的值,根据私有签名字段的值便捷地且准确地判断该网页数据是否被劫持,并确定该网页数据的劫持类型,可以提高网页数据的安全性。
基于上述对网页数据的处理方法的描述,本发明实施例提供一种对网页数据的处理装置,请参见图4,该对网页数据的处理装置应用于安全服务设备,该对网页数据的处理装置包括:
接收模块401,用于接收网页服务器发送的网页数据,所述网页数据是所述网页服务器响应网页获取请求返回的响应数据。
获取模块402,用于如果由终端发送的所述网页获取请求中包括劫持检测标识,则获取所述网页数据的签名信息,所述签名信息包括所述网页数据的长度值。
设置模块403,用于在所述网页数据中设置私有签名字段,并根据所述签名信息在所述私有签名字段设置长度值。
发送模块404,用于将所述设置了私有签名字段的网页数据返回给所述终端。
在一个实施例中,设置模块403,用于若所述网页数据的编码类型为分片类型,则在所述网页数据的目标分片数据中设置私有签名字段;根据所述网页数据的长度值在所述目标分片数据中的私有签名字段设置长度值。
其中,分片类型的所述网页数据包括第一类型的分片数据及第二类型的分片数据。
在一个实施例中,获取模块402,具体用于确定所述网页数据包括的第一类型的分片数据的数据量值;对确定的数据量值进行求和处理,得到所述网页数据的数据量总和值,将所述数据量总和值作为所述网页数据的长度值;根据所述网页数据的长度值得到所述网页数据的签名信息;所述第二类型的分片数据为所述网页数据的最后一个分片数据,将该最后一个分片数据作为所述目标分片数据。
其中,所述签名信息还包括类型指示值。
设置模块403,还用于在所述网页数据的头部数据中设置私有签名字段;在所述头部数据中的私有签名字段设置类型指示值,所述类型指示值用于指示所述网页数据的编码类型为分片类型。
在一个实施例中,设置模块403,具体用于若所述网页数据的编码类型为非分片类型,在所述网页数据的头部数据中设置私有签名字段;对所述签名信息包括的所述网页数据的长度值进行编码,得到编码值;将所述编码值设置为在所述头部数据中的私有签名字段的长度值。
基于上述对网页数据的处理方法的描述,本发明实施例提供一种对网页数据的处理装置,请参见图5,该对网页数据的处理装置应用于终端,该对网页数据的处理装置包括:
发送模块501,用于向网页服务器发送携带劫持检测标识的网页获取请求。
接收模块502,用于接收所述网页服务器针对所述网页获取请求返回的网页数据。
提取模块503,用于提取所述网页数据中包括的私有签名字段的值。
确定模块504,用于根据提取的私有签名字段的值确定所述网页数据的劫持类型。
其中,所述提取的私有签名字段的值包括长度值,所述长度值用于指示所述网页数据被所述网页服务器发送时的长度。
其中,提取的私有签名字段的值包括:在所述网页数据的头部数据中设置的私有签名字段的值。
在一个实施例中,确定模块504,具体用于判断所述头部数据中的私有签名字段的值是否为指定的类型指示值;如果所述头部数据中的私有签名字段的值是所述类型指示值,则采用第一检测策略检测所述网页数据的劫持类型;如果所述头部数据中的私有签名字段的值不是所述类型指示值,则确定所述网页数据的编码类型不是分片类型,采用第二检测策略检测所述网页数据的劫持类型。
其中,所述劫持类型包括第一劫持类型及第二劫持类型。
在一个实施例中,确定模块504,具体用于如果所述网页数据的编码类型不是分片类型,或所述网页数据的编码类型是分片类型但所述网页数据的目标分片数据中未携带私有签名字段,则确定所述网页数据的劫持类型为第一劫持类型;或者,如果所述网页数据的编码类型是分片类型,且所述网页数据的目标分片数据中的私有签名字段的值与获取到的所述网页数据的长度值的关系满足劫持条件,则确定所述网页数据的劫持类型为第二劫持类型。
在一个实施例中,确定模块504,具体用于对提取的头部数据中的私有签名字段的值进行解码;如果解码失败,或检测到所述网页数据中未携带长度字段,则确定所述网页数据的劫持类型为第一类型;如果解码得到的长度值与获取到的所述网页数据的长度值的关系满足劫持条件,则确定所述网页数据的劫持类型为第二劫持类型。
在一个实施例中,确定模块504,还用于如果检测到所述网页数据的头部数据中未携带私有签名字段,则确定所述网页数据的劫持类型为第一劫持类型。
在一个实施例中,上报模块505,用于如果确定所述网页数据的劫持类型为第一劫持类型,则将所述网页数据上报至安全服务设备。
在一个实施例中,发送模块501,还用于如果确定所述网页数据的劫持类型为第二劫持类型,则将所述网页获取请求通过超文本传输协议安全HTTPS重新发送至所述网页服务器。
基于上述对网页数据的处理装置的描述,本发明实施例提供一种安全服务设备,请参见图6,该安全服务设备包括:处理器601、输入接口602、输出接口603以及存储器604。
所述存储器604可以表示存储装置,包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器也可以包括非易失性存储器(non-volatile memory),例如快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器604还可以包括上述种类的存储器的组合。
所述输入接口602可用于输入等待进行处理的待处理数据至处理器601。在一个实施例中,输入接口602可以包括多个独立的接口,例如以太网接口、LCD接口等,分别负责不同外围设备向处理器601输入数据的通信。
所述输出接口603可用于输出数据至其他与终端相连的外围设备(如本申请所涉及的配置服务器等),可以向外输出处理器601的处理结果。输出接口603还可以包括多个独立的接口,例如以太网接口、camera接口等,负责处理器601向不同外围设备输出数据的通信。
在一个实施例中,输出接口603以及输入接口602可以是通用输入输出(GeneralPurpose Input Output,GPIO)接口。
所述处理器601可用于读取和执行计算机指令。在一个实施例中,处理器601还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specificintegrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(genericarray logic,GAL)或其任意组合。
在一个实施例中,所述存储器604还用于存储程序指令。所述处理器601可以调用所述程序指令,实现:
接收网页服务器发送的网页数据,所述网页数据是所述网页服务器响应网页获取请求返回的响应数据;
如果由终端发送的所述网页获取请求中包括劫持检测标识,则获取所述网页数据的签名信息,所述签名信息包括所述网页数据的长度值;
在所述网页数据中设置私有签名字段,并根据所述签名信息在所述私有签名字段中设置长度值;
将所述设置了私有签名字段的网页数据返回给所述终端。
在一个实施例中,所述存储器604还用于存储程序指令。所述处理器601可以调用所述程序指令,实现:
若所述网页数据的编码类型为分片类型,则在所述网页数据的目标分片数据中设置私有签名字段;
根据所述网页数据的长度值在所述目标分片数据中的私有签名字段设置长度值。
在一个实施例中,所述存储器604还用于存储程序指令。所述处理器601可以调用所述程序指令,实现:
确定所述网页数据包括的第一类型的分片数据的数据量值;
对确定的数据量值进行求和处理,得到所述网页数据的数据量总和值,将所述数据量总和值作为所述网页数据的长度值;
根据所述网页数据的长度值得到所述网页数据的签名信息;
所述第二类型的分片数据为所述网页数据的最后一个分片数据,将该最后一个分片数据作为所述目标分片数据。
在一个实施例中,所述存储器604还用于存储程序指令。所述处理器601可以调用所述程序指令,实现:
在所述网页数据的头部数据中设置私有签名字段;
在所述头部数据中的私有签名字段设置类型指示值,所述类型指示值用于指示所述网页数据的编码类型为分片类型。
在一个实施例中,所述存储器604还用于存储程序指令。所述处理器601可以调用所述程序指令,实现:
若所述网页数据的编码类型为非分片类型,在所述网页数据的头部数据中设置私有签名字段;
对所述签名信息包括的所述网页数据的长度值进行编码,得到编码值;
将所述编码值设置为在所述头部数据中的私有签名字段的长度值。
需要说明的是,本申请的一个或多个实施例提供的安全服务设备的实施方式及有益效果可参考前述的方法实施例,这里不再赘述。
本发明实施例中,通过对网页数据设置私有签名字段,并为私有签名字段设置值,得到携带签名字段的网页数据,将携带私有签名字段的网页数据发送至终端,以便终端可以根据网页数据的签名字段便捷地且准确地检测该网页数据是否被劫持,提高网页数据的安全性。另外,不需要增加安全服务设备的硬件成本、也不会对终端的性能造成影响,因此,实现该方案的成本较低。并且所有的改进可以仅仅在安全服务设备中实现,不需要对其他的网页服务器进行改进,在提高安全性的同时,也极大地节省了功能更新成本。
基于上述对网页数据的处理装置的描述,本发明实施例提供一种终端,请参见图7,该终端包括:处理器701、输入接口702、输出接口703以及存储器704。
所述存储器704可以表示存储装置,包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,RAM);存储器也可以包括非易失性存储器(non-volatile memory),例如快闪存储器(flash memory),硬盘(hard disk drive,HDD)或固态硬盘(solid-state drive,SSD);存储器704还可以包括上述种类的存储器的组合。
所述输入接口702可用于输入等待进行处理的待处理数据至处理器701。在一个实施例中,输入接口702可以包括多个独立的接口,例如以太网接口、LCD接口等,分别负责不同外围设备向处理器701输入数据的通信。
所述输出接口703可用于输出数据至其他与终端相连的外围设备(如本申请所涉及的配置服务器等),可以向外输出处理器701的处理结果。输出接口703还可以包括多个独立的接口,例如以太网接口、camera接口等,负责处理器701向不同外围设备输出数据的通信。
在一个实施例中,输出接口703以及输入接口702可以是通用输入输出(GeneralPurpose Input Output,GPIO)接口。
所述处理器701可用于读取和执行计算机指令。在一个实施例中,处理器701还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specificintegrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(genericarray logic,GAL)或其任意组合。
在一个实施例中,所述存储器704还用于存储程序指令。所述处理器701可以调用所述程序指令,实现:
向网页服务器发送携带劫持检测标识的网页获取请求;
接收所述网页服务器针对所述网页获取请求返回的网页数据;
提取所述网页数据中包括的私有签名字段的值;
根据提取的私有签名字段的值确定所述网页数据的劫持类型;
其中,所述提取的私有签名字段的值包括长度值,所述长度值用于指示所述网页数据被所述网页服务器发送时的长度。
在一个实施例中,所述存储器704还用于存储程序指令。所述处理器701可以调用所述程序指令,实现:
判断所述头部数据中的私有签名字段的值是否为指定的类型指示值;
如果所述头部数据中的私有签名字段的值是所述类型指示值,则采用第一检测策略检测所述网页数据的劫持类型;
如果所述头部数据中的私有签名字段的值不是所述类型指示值,则确定所述网页数据的编码类型不是分片类型,采用第二检测策略检测所述网页数据的劫持类型。
在一个实施例中,所述存储器704还用于存储程序指令。所述处理器701可以调用所述程序指令,实现:
如果所述网页数据的编码类型不是分片类型,或所述网页数据的编码类型是分片类型但所述网页数据的目标分片数据中未携带私有签名字段,则确定所述网页数据的劫持类型为第一劫持类型;
或者,如果所述网页数据的编码类型是分片类型,且所述网页数据的目标分片数据中的私有签名字段的值与获取到的所述网页数据的长度值的关系满足劫持条件,则确定所述网页数据的劫持类型为第二劫持类型。
在一个实施例中,所述存储器704还用于存储程序指令。所述处理器701可以调用所述程序指令,实现:
对提取的头部数据中的私有签名字段的值进行解码;
如果解码失败,或检测到所述网页数据中未携带长度字段,则确定所述网页数据的劫持类型为第一类型;
如果解码得到的长度值与获取到的所述网页数据的长度值的关系满足劫持条件,则确定所述网页数据的劫持类型为第二劫持类型。
在一个实施例中,所述存储器704还用于存储程序指令。所述处理器701可以调用所述程序指令,实现:
如果检测到所述网页数据的头部数据中未携带私有签名字段,则确定所述网页数据的劫持类型为第一劫持类型。
在一个实施例中,所述存储器704还用于存储程序指令。所述处理器701可以调用所述程序指令,实现:
如果确定所述网页数据的劫持类型为第一劫持类型,则将所述网页数据上报至安全服务设备;
如果确定所述网页数据的劫持类型为第二劫持类型,则将所述网页获取请求通过超文本传输协议安全HTTPS重新发送至所述网页服务器。
需要说明的是,本申请的一个或多个实施例提供的终端的实施方式及有益效果可参考前述的方法实施例,这里不再赘述。
还需要说明的是,本发明的上述设备各自对应的功能既可以通过硬件设计实现,也可以通过软件设计来实现,还可以通过软硬件结合的方式来实现,在此不作限制。
本发明实施例还提供一种计算机存储介质,其中,该计算机存储介质存储用于配置数据的获取的计算机程序,该计算机程序使得计算机执行如上述方法实施例中记载的任何一种对网页数据的处理方法的部分或全部步骤。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储了计算机程序的计算机可读存储介质,当其在计算机上运行时,所述计算机执行如上述方法实施例中记载的任何一种对网页数据的处理方法的部分或全部步骤。在一个实施例中,该计算机程序产品可以为一个软件安装包。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,上述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,上述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所揭露的仅为本发明部分实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (14)
1.一种对网页数据的处理方法,其特征在于,包括:
接收网页服务器发送的网页数据,所述网页数据是所述网页服务器响应网页获取请求返回的响应数据;
如果由终端发送的所述网页获取请求中包括劫持检测标识,则获取所述网页数据的签名信息,所述签名信息包括所述网页数据的长度值;
在所述网页数据中设置私有签名字段,并根据所述签名信息在所述私有签名字段中设置长度值;
将所述设置了私有签名字段的网页数据返回给所述终端。
2.如权利要求1所述的方法,其特征在于,所述在所述网页数据中设置私有签名字段,并根据所述签名信息在所述私有签名字段中设置长度值,包括:
若所述网页数据的编码类型为分片类型,则在所述网页数据的目标分片数据中设置私有签名字段;
根据所述网页数据的长度值在所述目标分片数据中的私有签名字段设置长度值。
3.如权利要求2所述的方法,其特征在于,分片类型的所述网页数据包括第一类型的分片数据及第二类型的分片数据,所述获取所述网页数据的签名信息,包括:
确定所述网页数据包括的第一类型的分片数据的数据量值;
对确定的数据量值进行求和处理,得到所述网页数据的数据量总和值,将所述数据量总和值作为所述网页数据的长度值;
根据所述网页数据的长度值得到所述网页数据的签名信息;
所述第二类型的分片数据为所述网页数据的最后一个分片数据,将该最后一个分片数据作为所述目标分片数据。
4.如权利要求2所述的方法,其特征在于,若所述网页数据的编码类型为分片类型,所述签名信息还包括类型指示值,所述方法还包括:
在所述网页数据的头部数据中设置私有签名字段;
在所述头部数据中的私有签名字段设置类型指示值,所述类型指示值用于指示所述网页数据的编码类型为分片类型。
5.如权利要求1所述的方法,其特征在于,所述在所述网页数据中设置私有签名字段,并根据所述签名信息在所述私有签名字段中设置长度值,包括:
若所述网页数据的编码类型为非分片类型,在所述网页数据的头部数据中设置私有签名字段;
对所述签名信息包括的所述网页数据的长度值进行编码,得到编码值;
将所述编码值设置为在所述头部数据中的私有签名字段的长度值。
6.一种对网页数据的处理方法,其特征在于,包括:
向网页服务器发送携带劫持检测标识的网页获取请求;
接收所述网页服务器针对所述网页获取请求返回的网页数据;
提取所述网页数据中包括的私有签名字段的值;
根据提取的私有签名字段的值确定所述网页数据的劫持类型;
其中,所述提取的私有签名字段的值包括长度值,所述长度值用于指示所述网页数据被所述网页服务器发送时的长度。
7.根据权利要求6所述的方法,其特征在于,提取的私有签名字段的值包括:在所述网页数据的头部数据中设置的私有签名字段的值,所述根据提取的私有签名字段的值确定所述网页数据的劫持类型,包括:
判断所述头部数据中的私有签名字段的值是否为指定的类型指示值;
如果所述头部数据中的私有签名字段的值是所述类型指示值,则采用第一检测策略检测所述网页数据的劫持类型;
如果所述头部数据中的私有签名字段的值不是所述类型指示值,则确定所述网页数据的编码类型不是分片类型,采用第二检测策略检测所述网页数据的劫持类型。
8.根据权利要求7所述的方法,其特征在于,所述劫持类型包括第一劫持类型及第二劫持类型,所述采用第一检测策略检测所述网页数据的劫持类型,包括:
如果所述网页数据的编码类型不是分片类型,或所述网页数据的编码类型是分片类型但所述网页数据的目标分片数据中未携带私有签名字段,则确定所述网页数据的劫持类型为第一劫持类型;
或者,如果所述网页数据的编码类型是分片类型,且所述网页数据的目标分片数据中的私有签名字段的值与获取到的所述网页数据的长度值的关系满足劫持条件,则确定所述网页数据的劫持类型为第二劫持类型。
9.根据权利要求7所述的方法,其特征在于,所述劫持类型包括第一劫持类型及第二劫持类型,所述采用第二检测策略检测所述网页数据的劫持类型,包括:
对提取的头部数据中的私有签名字段的值进行解码;
如果解码失败,或检测到所述网页数据中未携带长度字段,则确定所述网页数据的劫持类型为第一类型;
如果解码得到的长度值与获取到的所述网页数据的长度值的关系满足劫持条件,则确定所述网页数据的劫持类型为第二劫持类型。
10.根据权利要求8或9所述的方法,其特征在于,所述方法还包括:
如果检测到所述网页数据的头部数据中未携带私有签名字段,则确定所述网页数据的劫持类型为第一劫持类型。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
如果确定所述网页数据的劫持类型为第一劫持类型,则将所述网页数据上报至安全服务设备;
如果确定所述网页数据的劫持类型为第二劫持类型,则将所述网页获取请求通过超文本传输协议安全HTTPS重新发送至所述网页服务器。
12.一种对网页数据的处理装置,其特征在于,包括:
接收模块,用于接收网页服务器发送的网页数据,所述网页数据是所述网页服务器响应网页获取请求返回的响应数据;
获取模块,用于如果由终端发送的所述网页获取请求中包括劫持检测标识,则获取所述网页数据的签名信息,所述签名信息包括所述网页数据的长度值;
设置模块,用于在所述网页数据中设置私有签名字段,并根据所述签名信息在所述私有签名字段设置长度值;
发送模块,用于将所述设置了私有签名字段的网页数据返回给所述终端。
13.一种对网页数据的处理装置,其特征在于,包括:
发送模块,用于向网页服务器发送携带劫持检测标识的网页获取请求;
接收模块,用于接收所述网页服务器针对所述网页获取请求返回的网页数据;
提取模块,用于提取所述网页数据中包括的私有签名字段的值;
确定模块,用于根据提取的私有签名字段的值确定所述网页数据的劫持类型;
其中,所述提取的私有签名字段的值包括长度值,所述长度值用于指示所述网页数据被所述网页服务器发送时的长度。
14.一种计算机可读存储介质,其特征在于,所述计算机存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1至11任一项所述的对网页数据的处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711497623.4A CN109981555B (zh) | 2017-12-28 | 2017-12-28 | 对网页数据的处理方法、装置、设备、终端及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711497623.4A CN109981555B (zh) | 2017-12-28 | 2017-12-28 | 对网页数据的处理方法、装置、设备、终端及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109981555A true CN109981555A (zh) | 2019-07-05 |
CN109981555B CN109981555B (zh) | 2021-08-24 |
Family
ID=67075675
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711497623.4A Active CN109981555B (zh) | 2017-12-28 | 2017-12-28 | 对网页数据的处理方法、装置、设备、终端及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109981555B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120227106A1 (en) * | 2007-06-20 | 2012-09-06 | Amichai Shulman | System and method for preventing web frauds committed using client-scripting attacks |
CN104935551A (zh) * | 2014-03-18 | 2015-09-23 | 杭州迪普科技有限公司 | 一种网页篡改防护装置及方法 |
CN104954386A (zh) * | 2015-06-30 | 2015-09-30 | 百度在线网络技术(北京)有限公司 | 一种网络反劫持方法及装置 |
CN106685936A (zh) * | 2016-12-14 | 2017-05-17 | 深圳市深信服电子科技有限公司 | 网页篡改的检测方法及装置 |
CN106878345A (zh) * | 2017-04-25 | 2017-06-20 | 杭州迪普科技股份有限公司 | 一种篡改防护的方法及装置 |
CN107124430A (zh) * | 2017-06-08 | 2017-09-01 | 腾讯科技(深圳)有限公司 | 页面劫持监控方法、装置、系统和存储介质 |
-
2017
- 2017-12-28 CN CN201711497623.4A patent/CN109981555B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120227106A1 (en) * | 2007-06-20 | 2012-09-06 | Amichai Shulman | System and method for preventing web frauds committed using client-scripting attacks |
CN104935551A (zh) * | 2014-03-18 | 2015-09-23 | 杭州迪普科技有限公司 | 一种网页篡改防护装置及方法 |
CN104954386A (zh) * | 2015-06-30 | 2015-09-30 | 百度在线网络技术(北京)有限公司 | 一种网络反劫持方法及装置 |
CN106685936A (zh) * | 2016-12-14 | 2017-05-17 | 深圳市深信服电子科技有限公司 | 网页篡改的检测方法及装置 |
CN106878345A (zh) * | 2017-04-25 | 2017-06-20 | 杭州迪普科技股份有限公司 | 一种篡改防护的方法及装置 |
CN107124430A (zh) * | 2017-06-08 | 2017-09-01 | 腾讯科技(深圳)有限公司 | 页面劫持监控方法、装置、系统和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN109981555B (zh) | 2021-08-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104468249B (zh) | 一种账号异常的检测方法及装置 | |
CN104348803B (zh) | 链路劫持检测方法、装置、用户设备、分析服务器及系统 | |
CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
CN104519032A (zh) | 一种互联网账号的安全策略及系统 | |
CN105871845A (zh) | Web漏洞扫描行为的检测方法及装置 | |
CN108550041A (zh) | 保护原创作品的方法、装置和终端 | |
CN103001946B (zh) | 网站安全检测方法和设备 | |
CN110351089A (zh) | 一种数据签名认证方法及装置 | |
CN108965296A (zh) | 一种用于智能家居设备的漏洞检测方法及检测装置 | |
CN102970282B (zh) | 网站安全检测系统 | |
CN108390856B (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
CN101388768A (zh) | 检测恶意http请求的方法及装置 | |
CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
CN109241733A (zh) | 基于Web访问日志的爬虫行为识别方法及装置 | |
CN102779245A (zh) | 基于图像处理技术的网页异常检测方法 | |
CN108632219A (zh) | 一种网站漏洞检测方法、检测服务器及系统 | |
CN105991554A (zh) | 漏洞检测方法和设备 | |
CN105573733A (zh) | 浏览器与web前端通信的方法、web前端及系统 | |
CN109684878B (zh) | 一种基于区块链技术隐私信息防篡改方法及系统 | |
CN107135199B (zh) | 网页后门的检测方法和装置 | |
CN104486320A (zh) | 基于蜜网技术的内网敏感信息泄露取证系统及方法 | |
CN106507352A (zh) | 短信验证码的网站识别方法及识别终端 | |
CN104462242B (zh) | 网页回流量统计方法及装置 | |
JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
CN104052630A (zh) | 对网站执行验证的方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |